Вот нашел в сети программу (F-Secure Blacklight ) которая умудряется находить замаскированные мною файлы на диске. Маскирую перехватом NtQueryDirectoryFile. Посмотрел она создает свой драйвер. Дизассемблировал вроде никакие особые функции не использует при этом даже не трогает NtQueryDirectoryFile. Как она видит мои файлы ума не приложу. Помогите пожалуйста в развитии общего дела. Прога кстати валяется в сети на официальном сайте совершенно бесплатно. На всякий случай прикреплю.
Антируткит старый, а как обойти - читай мою статью http://rootkit.com/newsread_print.php?newsid=526 Там приведен пример кода реализующего предлагаемую концепцию, но для практического использования этот код требует серьезной доработки.
Предложи не буржуйскую поделку, с не буржуйским гуи Имхо неплохой антируткит IceSword, но он вобще имеет гуи на китайском.
Как открывать том и читать его, можно прочитать в http://wasm.ru/article.php?article=lockfileswork Ну а чтобы понять как работает антируткит, надо еще искать инфу по структурам ФС. И учти, что Blacklight это примитив, есть более сложные вещи, вроде IceSword и DarkSpy. А если ты обойдешь svv2 и GMER, то прими мои поздравления.
Надо же когда то и их обойти! Постараюсь. Я думаю что обойти их не сложно, самое сложное узнать принцип их работы.
X_k Когда узнаешь, не вздумай ничего писать. Иначе через несколько дней способ уже перестанет работать. Если тебе конечно хочеться "попонтоваться" в своей крутости, то можно ченить и написать. Но реальные кодеры не релизят своих секретов на паблик, а зарабатывают на них бабки. З.Ы. хотя в общем, я насчет всего этого не беспокоюсь. Если чел задает такой вопрос на форуме, врядли он в скором времени сможет это сделать. Ну а у того, кому хватит ума написать такой руткит, хватит ума и не трындеть о своих секретах на каждом шагу. Конечно бывают досадные исключения (чел подслушал чужой разговор, добавил к подслушаной инфе свои исследования и написал статью, за что чуть не получил по морде).
