kernel-mode перехват для антивируса

Какая версия ядра и его адрес загрузки ?

 

5.1.2600.2622

804D7000

 

Этот дамп не SST, не SDT, не дамп секции данных ntos начиная с KeServiceDescriptorTable и не код, а какойто мусор, похоже на часть секции данных какогото модуля.
Надо узнать где функция перехвачена. Надо видеть дамп ntos!ZwCreateKey, KiSystemService[Repeat], NtCreateKey.
Если там ничего не изменено, то перехват гдето выше(SST, SDT), конечно если перехват не стоит гдето глубже (напр. ObOpenObjectByName).

 

Ну я не нашел чем сдампить и сдампил вот так

 

8056E761 - адрес NtCreateKey.
Зделай так:
LOCAL buf[1024]:byte
....
lea edi,buf
mov ecx,1024/4
mov esi,8056E761h
cld
rep movsd
invoke ZwWriteFile, hFile, 0, NULL, NULL, addr iosb,addr buf, 1024,0, NULL

 

Сдампил, по мойму такой же мусор получился, хотя смотрел через софтайс этот адрес функции, там действительно NtCreateKey

 

Не мусор, а код. Функция не перехвачена сплайсингом. Для её вызова из ring0 надо найти оригинальную SST ntos и смещение в ней NtCreateKey, через номер сервиса(ето индекс) и вызвать её. Видимо функция перехвачена в SST.

 

Понял буду пробовать

ps а чем ты перевёл дамп в код? у меня ида не хотела его переводить

 

Шутишь ?
BINTODB.EXE->ml.exe->link.exe->ollydbg

 

имхо идой гораздо проще. Спокойно открывает. Просто пользоватся инструментом надо уметь, хотя бы по минимуму.
Не проще ли все это обсудить в аське, или в привате?

 

Да тему я думаю уже можно закрывать?

 

Да