777user777 Можно, смотрите уязвимости приводящие к выполнению кода в ядре. Для примера - уже закрытая уязвимость в ntvdm. Но на непропатченых системах можете проверить. (MS10-015 VDM exploit)
777user777 "Нулевое кольцо" - это CPL. Уровень привилегий описанный в кодовом и стековом дескрипторах. Это не влияет на подкачку(не связано с IRQL, всё тотже пассив в обеих модах). Можно из ядра выполнить код в юзермодном ап(на нулевом кпл), просто например выполнив ветвление в нтдлл(разумеется будут проблемы с сисколами, но тут не существенно). Понижение CPL не легальным путём называется эскалацией привилегий. Например загрузка драйвера - легальный путь выполнить код с !CPL.
Если делать всё штатными средствами винды, то надо написать драйвер, который может делать по запросу приложения переход по определённому адресу. Типа jmp user_mode_code. Только надо ещё в адресном пространстве нужного процесса быть. Или же драйвер по запросу сохраняет пользовательский код в ядерной памяти и вызывает его. Например, создать устройство KernelMode и исполнять любой записанный туда блок байт.
777user777 Из ядра джамп в пользовательское ап. Нет разницы, что системное ап ядра, что пользовательское.
а как установить драйвер так,чтобы антивирус не выдавал сообщение "Скрытая установка драйвера"? какую установку он считает скрытой?
777user777 Очевидно не юзать драйвера. Драйвер это обьект и требует некоторый механизм запуска, который отслеживается. Следующий ваш вопрос - как быть без драйвера. Даём ответ - драйвер всеголишь модуль. А что такое модуль вы наверно знаете.
Почему бы не использовав ядерный сплоет не запустить в ринг0 сплоет из оверлея ехе фаела или прочих ресурсов его же? Пробуйте что уж там или вам код надо который компилируется масмом32?
