Перенос вызовов ntoskrnl.exe

Тема в разделе "WASM.WIN32", создана пользователем electron, 5 окт 2005.

  1. electron

    electron New Member

    Публикаций:
    0
    Регистрация:
    26 май 2005
    Сообщения:
    32
    Появилась идея организовать антихук ntoskrnl методом подгрузки ядра с диска ,и переноса вызовов SST из оригинального ядра в подгруженное.Например скопировать функции в PagedPool и вызывать их оттуда.Сработает ли это?Спасибо.
     
  2. Ms Rem

    Ms Rem New Member

    Публикаций:
    0
    Регистрация:
    17 апр 2005
    Сообщения:
    1.057
    Адрес:
    С планеты "Земля"




    Если правильно реализовать, то сработает. И эта техника давно уже используется, но только не в целях защиты, а наоборот :)

    Но на каждую хитрую ж..у есть свой [censored] винтом.
     
  3. Saint German

    Saint German New Member

    Публикаций:
    0
    Регистрация:
    13 сен 2003
    Сообщения:
    222
    Ms Rem

    все секреты уже рассказал:)

    electron

    А почему именно в PagedPool?
     
  4. electron

    electron New Member

    Публикаций:
    0
    Регистрация:
    26 май 2005
    Сообщения:
    32
    Saint German

    да, вероятно, NonPagedPool будет лучшим местом.Иначе при высоком IRQL мы получим бсод.
     
  5. Intercepter

    Intercepter New Member

    Публикаций:
    0
    Регистрация:
    22 сен 2005
    Сообщения:
    14
    Адрес:
    Russia
    как работает эта техника, расскажите, я не уловил
     
  6. Four-F

    Four-F New Member

    Публикаций:
    0
    Регистрация:
    31 авг 2002
    Сообщения:
    1.237
  7. 90210

    90210 New Member

    Публикаций:
    0
    Регистрация:
    30 авг 2002
    Сообщения:
    16
    Адрес:
    somewhere from Russia
  8. ECk

    ECk Member

    Публикаций:
    0
    Регистрация:
    9 апр 2004
    Сообщения:
    454
    Адрес:
    Russia
    90210

    А где можно пример посмотреть, который к статье прилагался? (ссылка, которая в самой статье не пашет)
     
  9. Saint German

    Saint German New Member

    Публикаций:
    0
    Регистрация:
    13 сен 2003
    Сообщения:
    222
    Я когда-то говорил, что работа с релоками в http://www.rootkit.com/newsread.php?newsid=196 годится только для юзер-мода, а для кернела не работает, все работает. В примере ранние первые переделки информации, что запостил там 90210.

    [​IMG] _187911655__pemodule.c
     
  10. ECk

    ECk Member

    Публикаций:
    0
    Регистрация:
    9 апр 2004
    Сообщения:
    454
    Адрес:
    Russia
    Saint German

    Thanks
     
  11. 90210

    90210 New Member

    Публикаций:
    0
    Регистрация:
    30 авг 2002
    Сообщения:
    16
    Адрес:
    somewhere from Russia
    ECk

    http://www.rootkit.com/vault/90210/phide2.zip

    src\engines\pullout\



    Saint German

    Я когда-то говорил, что работа с релоками в http://www.rootkit.com/newsread.php?newsid=196 годится только для юзер-мода



    Видимо, ты другую статью имеешь ввиду - про поиск KiServiceTable в юзермоде. Я дал ссылку на статью про выдирание нужного кода из ntoskrnl, хотя поиск KiServiceTable, работающий в ядре, там тоже есть.