Clerk привет, как передать управление стабильнее всего (без апц) на код? я подумывал перехватить что-то вроде KiFastSystemCall но жаль этой точки...
ну с диска проецируй делов-то. ZwCreateFile/ZwCreateSection/ZwMapViewOfSection
http://mirror.sweon.net/z0mbie/selfcorr.html
Линк там кинуть не получится идешь Collection->Trojan-PSW->Win32->Sinowal версия m если не ошибаюсь дллка.
Да, у Win32.Sinowal похожая методика только он по больше апи из Secur32.dll хучит, если интересно можешь глянуть есть семплы на vx.nutlex.
Для ФФ можно PR_Read/PR_Write из nspr4.dll хукнуть, там если я не ошибаюсь трафик до шифрования идет.
Из любой Zw** экспортируемой ntoskrnl.exe ZwYieldExecution: 004074D5 > B8 16010000 MOV EAX,116 004074DA 8D5424 04 LEA EDX,DWORD PTR...
Про перехват в idt много интересного в последнем phrack'e написано.
Есть такой очень хороший ман по найтивапи гуглится как "nativeapi.pdf".
http://www.rootkit.com/newsread.php?newsid=899
n0name смещение поля SharedUserData->NtSystemRoot в разных версиях windows неизменно?
Не понятен вопрос и вообще к чему это. А что тебе нужно сделать?, если определить к какому модулю принадлежит обработчик в IDT то я описал...
Адрес не обязательно может принадлежать какому-то драйверу, если речь идет о загруженных драйверах то пройтись по PsLoadedModuleList там есть...
Сравнить с оригинальной таблицей, либо проверить обработчик на принадлежность к какому либо модулю, с условием что заранее известно к какому...
WinDbg + VMware
Киньте линк в PM пожалуйста откуда качать.
Этот хэндл не принадлежит твоему процессу, его надо скопировать с помошью ZwDuplicateObject с опцией DUPLICATE_CLOSE_SOURCE, соотвественно...
Как ты вообще узнал что не спасает, выполнился код в твоем процессе без вызова твоего обработчика KiUserApcDispatcher?, тогда это либо не апц...
Да перехват можно определить, если задача состоит в как можно большей скрытности обработки исключения в usermode то конечно же лучше всего...
Перехватывай в отлаживаемом процессе ntdll.dll!KiUserExceptionDispatcher, на васм есть цикл статей про SEH в одной из частей эта точка описывалась.
Имена участников (разделяйте запятой).
