8ung посмотреть кому принадлежат DriverObject->MajorFunction[] - драйверу или не драйверу. Это умеет показывать, например, WinObjEx от Four-F. Как их узнать - проанализировать DriverEntry, где они, собственно, задаются. Можно даже попробовать ее проэмулировать
Great Могут заполнятся м не в DriverEntry, а в подпроцедуре, поэтому без эмулятора будет сложно, ьем более зачастую оптимизация вмешивается в генерацию кода, и какой элемент заполняется понять сложно обходясь просто дизасмом.
Эмулятор всегда можно обмануть. Так что универсальный способ не покатит. И заполняются они действительно нетривиально иногда, так что трейсер очень часто не подходит. С эмулятором попроще, но тоже не сладко.
sww_ особенно если хуки в адресном же пространстве хукнутого драйвера стоят и каждый call хука равнозначен дополнительной вложенности эмулятора, что совсем и совсем не просто в контексте сохранения вложенных бранчей в итоге.
имхо очень маловероятно, что в драйвере, irp которого хукают встречатся могут антиэмульные триксы. ECk имеется ввиду не анализ хуков, а анализ заполнения irp-таблицы, драйвером который хукчат, в DriverEntry.
n0name Ммм... с одной стороны да, врядли там будут антиэмульные триксы на чистой системе, тут я согласен, но есть одно НО: неизвестно что там, допустим к драйверу NTFS зааттачено (и все вплоть до root объекта захучено). Оно может быть уже с антиэмульными триксами, запаковано, заморфировано (сам придумаешь . А детатчить - стремный вариант. ECk Да, как заметил n0name мы немножко другое обсуждаем В плане сплайсинга/хука + размещения обработчика внутри можно очень долго разговарить.
8ung так же как я и написал тебе %) дизасм длин + простенький эмулятор на 10-15 команд. Это идеальное решение(имхо для tcpip), Можно еще сделать с пяток грязных решений, типа фингерпринта, смещений, релоков, ...
Патался как то сделать с помощью дизасма простого расхучивание мажорных функций, для частных случаев получилось нормально, ну TCP и NTFS/FAT. А вот универсального способа не получится.
Denwer Вот и у меня есть для частных случаев... Можно, конечно, поизвращаться и что-нить придумать, но не уверен, что выйдет.
