Появилась идея организовать антихук ntoskrnl методом подгрузки ядра с диска ,и переноса вызовов SST из оригинального ядра в подгруженное.Например скопировать функции в PagedPool и вызывать их оттуда.Сработает ли это?Спасибо.
Если правильно реализовать, то сработает. И эта техника давно уже используется, но только не в целях защиты, а наоборот Но на каждую хитрую ж..у есть свой [censored] винтом.
90210 А где можно пример посмотреть, который к статье прилагался? (ссылка, которая в самой статье не пашет)
Я когда-то говорил, что работа с релоками в http://www.rootkit.com/newsread.php?newsid=196 годится только для юзер-мода, а для кернела не работает, все работает. В примере ранние первые переделки информации, что запостил там 90210. _187911655__pemodule.c
ECk http://www.rootkit.com/vault/90210/phide2.zip src\engines\pullout\ Saint German Я когда-то говорил, что работа с релоками в http://www.rootkit.com/newsread.php?newsid=196 годится только для юзер-мода Видимо, ты другую статью имеешь ввиду - про поиск KiServiceTable в юзермоде. Я дал ссылку на статью про выдирание нужного кода из ntoskrnl, хотя поиск KiServiceTable, работающий в ядре, там тоже есть.
