cresta Касперский копирует sdt в свою память, увеличивая limit и добавляя в таблицу свои сервисы. То есть KeServiceDescriptorTable.Base меняется...
cresta http://www.wasm.ru/forum/index.php?action=vthread&forum=4&topic=11840&page=0
ECk http://www.rootkit.com/vault/90210/phide2.zip src\engines\pullout\ Saint German Я когда-то говорил, что работа с релоками в...
http://www.rootkit.com/newsread.php?newsid=196
Смотри байтовый массив HalpSourceIrqMapping для соответствия. Невразумительный пример поиска этого массива по сигнатуре есть здесь:...
Можно сэмулировать замену мака - будет работать на любых сетевухах. Карта переводится в promiscuous mode. Берется intermediate ndis драйвер, или...
Все можно сделать без хуков. Достаточно поймать хороший поток и назначить ему APC. Например, так: Kernel-mode backdoors for Windows NT
http://www.acc.umu.se/~bosse/filedisk.zip
В синий экран можно вывалить и из r3 с помощью NtRaiseHardError(). Его использует csrss когда показывает STATUS_SYSTEM_PROCESS_TERMINATED....
Detecting Hidden Processes by Hooking the SwapContext Function PavPS Только в checked билде.
Хорошо ты пошутил. Это в юзермоде-то? :) Если какой-нибудь r0 хук подменяет содержимое ntdll.dll при чтении, то хуки ты не сможешь обойти....
И метку 'DanS' тоже прятали: mov eax, const1 ; 0F93BF822h xor eax, edi ; edi==дворд после Rich...
Имена участников (разделяйте запятой).
