Перенос вызовов ntoskrnl.exe

Discussion in 'WASM.WIN32' started by electron, Oct 5, 2005.

  1. electron

    electron New Member

    Blog Posts:
    0
    Появилась идея организовать антихук ntoskrnl методом подгрузки ядра с диска ,и переноса вызовов SST из оригинального ядра в подгруженное.Например скопировать функции в PagedPool и вызывать их оттуда.Сработает ли это?Спасибо.
     
  2. Ms Rem

    Ms Rem New Member

    Blog Posts:
    0




    Если правильно реализовать, то сработает. И эта техника давно уже используется, но только не в целях защиты, а наоборот :)

    Но на каждую хитрую ж..у есть свой [censored] винтом.
     
  3. Saint German

    Saint German New Member

    Blog Posts:
    0
    Ms Rem

    все секреты уже рассказал:)

    electron

    А почему именно в PagedPool?
     
  4. electron

    electron New Member

    Blog Posts:
    0
    Saint German

    да, вероятно, NonPagedPool будет лучшим местом.Иначе при высоком IRQL мы получим бсод.
     
  5. Intercepter

    Intercepter New Member

    Blog Posts:
    0
    как работает эта техника, расскажите, я не уловил
     
  6. Four-F

    Four-F New Member

    Blog Posts:
    0
  7. 90210

    90210 New Member

    Blog Posts:
    0
  8. ECk

    ECk Member

    Blog Posts:
    0
    90210

    А где можно пример посмотреть, который к статье прилагался? (ссылка, которая в самой статье не пашет)
     
  9. Saint German

    Saint German New Member

    Blog Posts:
    0
    Я когда-то говорил, что работа с релоками в http://www.rootkit.com/newsread.php?newsid=196 годится только для юзер-мода, а для кернела не работает, все работает. В примере ранние первые переделки информации, что запостил там 90210.

    [​IMG] _187911655__pemodule.c
     
  10. ECk

    ECk Member

    Blog Posts:
    0
    Saint German

    Thanks
     
  11. 90210

    90210 New Member

    Blog Posts:
    0
    ECk

    http://www.rootkit.com/vault/90210/phide2.zip

    src\engines\pullout\



    Saint German

    Я когда-то говорил, что работа с релоками в http://www.rootkit.com/newsread.php?newsid=196 годится только для юзер-мода



    Видимо, ты другую статью имеешь ввиду - про поиск KiServiceTable в юзермоде. Я дал ссылку на статью про выдирание нужного кода из ntoskrnl, хотя поиск KiServiceTable, работающий в ядре, там тоже есть.