касперский и загрузка dll

>>Magnum
Спасибо!

>>EvilPhreak

она принимает UNICODE_STRING на вход, как юзать ее в r3?

по поводу хуков в r0:

эта ф-я (LdrLoadDll) вообще есть в SST?
или куда тогда каспер ставит хук(r0) дабы отследить загрузку dll?

 

а при чем тут Юникод к р3?

Юникод - это структура, описание которой ты можешь найти в мсдн.
Привести аски строку в юникодовую очень просто

 

Чтобы привести строку в юникод-вид, нужно:
1. Привести ASCII строку в вайд-чар

вот процедура:

На выходе ты получаешь WideChar

Далее, указатель на этот твой вайдчар передаешь функции RtlInitUnicodeString()

И у тебя на выходе юникод строка.
АПИшка докумментирована.

 

нету
в SST есть ZwLoadLibrary

 

Простите за тупню)! С LdrLoadDll и r3 разобрался!


>>Magnum
Написал, потом увидел ), спасибо понял!

 

А как узнать номер системного сервиса(ZwLoadLibrary)?

Те ф-ии, с которыми я работал(ZwWriteVirtualMemory ...), экспортируються ntdll, и в ней я находил номер сервиса!
А как быть с ZwLoadLibrary? Ведь чтоб снять хук нужно знать номер в SST!

 

И что? Читай evilphreak.blog.ru и радуйся. И ксати полезно иметь свой моск.

 

ZwLoadLibrary в SST нет. Там есть ZwLoadDriver. =) Извиняюсь. спутал...

 

>> EvilPhreak
Спасибо, хорошая статья!

Но там используется другой принцип! Мне бы хотелось до конца разобраться в том в чем начал!(Может я и гоню конечно )) )

Вы писАли

Код (Text):

1. снимет хук с LoadLibrary или юзай LdrLoadDll

Я понял как юзать LdrLoadDll, но с ней все равно загрузка палится!
Так как что-то отвечающее за это прохучено в SDT!

Вот я и хочу узнать что и снять хук!
Как это сделать?

 

А сплайсы?
Ты сперва в р3 просканируй ntdll.dll на левый код

 

vanilly_cpp

Я про статью сказал не по теме, в ответ на цитату Magnum

Ну думай как вообще можно обнаружить хук. Качни RKU и посмотри что похучено. Например хук на ZwCreateSection/...

 

Снял сплайсы, та же хень!

Пока забъю на dll я уже вроде по худу разобрался с бозонезависимым кодом, попробую инжектить просто код, со временем, напишу свой нормальный dll loader и всЁ!

Всем большое спасибо за советы!

 

Я извиняюсь за навязчивость, но ты пробовал просто восстанавливать экспорты кернела, как я писал в начале топика? У мну такое сработало и хотелось бы знать, работает такое еще где-нибудь или нет

 

Все получилось! )))

Заменил оригинальными 10-х byte LdrLoadDll в инжектируемом коде!
Снял хуки ZwCreateSection/...

и все! Все ок!

Всем огромное спасибо!

 

>>MSoft
LoadLibraryA не использовал!