Может кто знает, где достать трейсер уроня ядра с исходниками под Win2k? Хотелось бы видеть как такое работает.
Пошутил так пошутил. Вот слова Four-F: Вобщем, есть почти документированный способ через переотображения памяти. Для начала см. код "Figure 13 Writing Read-only Memory" к статье "The VTrace Tool: Building a System Tracer for Windows NT and Windows 2000" в MSDN. http://www.wasm.ru/forum/index.php?action=vthread&forum=4&topic=5842 Поиск по форуму рулит!
хммм... под win2k? а Шрайберовский не подойдет случаем? Исходники я когда то видел на васме, да и у меня они есть.
Что касается VTrace, это вроде kernel-mode monitor(из MSDN:"VTrace collects data about processes, threads, messages, disk operations, network operations, and devices"). Ну, всё равно спасибо. Полезная штука... наверное. Мне бы надо что нить вроде /TRACE в icedump, то, что пасёт каждую команду. to Volynkin Может быть. А что он может? В исходниках к книге Шрайбера я вроде ничего такого не нашёл. Может проглядел...
www.invisiblethings.org Слить PatchFinder + pdf и ppt к нему. Он как раз и трейсит пошагово в ядре. Ещё найди статью по нему (pdf) "Advanced Windows 2000 Rootkit Detection (Execution Path Analysis)" by Jan Krzysztof Rutkowski. Также может представлять интерес статья "Bypassing PatchFinder" by Edgar Barbosa. ЗЫ: У Шрайбера трейсера нет.
Пардон, мне почему то тоже подумалось что нужен обычный монитор в ядре. исходники монитора есть и в strace http://www.bindview.com/Support/RAZOR/Utilities/Windows/strace_readme. cfm
В IceExt трейсер откровенно слабоват. Там он только для трассировки одной команды нужен. to Four-F Забавные статейки. PatchFinder - почти то что нужно. В нем нет обработки переключения контекста(почти), дочерние потоки не трассируются... В icedump/trace все это есть. Жаль в IceExt нет такой команды
[ blood: В нем нет обработки переключения контекста ] Ищи на rootkit.com "Detecting Hidden Processes by Hooking the SwapContext Function" сорс приаттачил Или в том же VTrace, вроде, была такая фича. _620892907__swapcontext_hook.zip
