Bezpieczeństwo Windows, część 1: Usługi systemowe

Podczas trzygodzinnego szkolenia, które odbyło się 20 marca 2023 roku, przedstawione zostały kluczowe aspekty działania usług (serwisów) w Windows, w tym ich architekturę, rolę menedżera usług (Service Manager) oraz sposób komunikacji między usługami i systemem. Omówiono również kwestie związane z przydzielaniem uprawnień oraz procesami ochronnymi, które wpływają na bezpieczeństwo i stabilność systemu operacyjnego.

Ważnym punktem szkolenia była analiza usług opartych na mechanizmie svchost, które są istotnym elementem działania systemu Windows, oraz techniki ochrony procesów w systemie, by zapobiec ich manipulacji lub nadużyciom.

Zwrócę uwagę na praktyczne aspekty bezpieczeństwa, takie jak blokowanie komunikacji sieciowej, wykrywanie ukrytych usług oraz techniki ukrywania usług przed administratorami. Wykład obejmował również szczegółowe omówienie wykrywania niebezpiecznych uprawnień – zarówno do usług, jak i do baz danych oraz plików binarnych, co jest kluczowe w kontekście przeciwdziałania eskalacji uprawnień i zapobiegania niechcianym zmianom w systemie.

Szkolenie zakończyło się analizą przykładowej złośliwej usługi, która obejmowała cały proces od projektu przez kodowanie, aż po implementację, co pozwoliło zrozumieć potencjalne zagrożenia wynikające z obecności złośliwego oprogramowania w systemach Windows oraz metody jego neutralizacji.