Здравствуйте. Я разрабатываю Kernel-mode проактивную защиту. Она основана модификации таблицы системных вызовов. Реализованно: 1)Есть загрузчик драйвера 2)Есть сам драйвер перехватчик Драйвер пока умеет делать процесс невидимым и и запрещает его уничтожение. Есть некоторые трудности: 1)У меня нет нормального справочника описывающего недокументированные функции и структуры данных ядра(дизассемблером я ещё плохо пользуюсь) 2)В тех материалах которые есть у меня даже если что то описывается то не до конца. Пример NtQuerySystemInformation есть описание нескольких типов входов, а их намного больше Что нужно реализовать по минимуму: 1)Скрытие файла, невозможность удаления/изменения 2)Скрытие ключа реестра, невозможность удаления/изменения 3)Контроль сети Буду рад любой помощи. Спасибо за внимание.
Что-то это больше похоже на руткит, а не на проактивку -) Для скрытие файла тебе будет достаточно написать фильтр файловой системы имхо. Для скрытия ключа реестра можешь поставить хук на NtEnumerateKey или CmEnumerateKey
