1. Если вы только начинаете программировать на ассемблере и не знаете с чего начать, тогда попробуйте среду разработки ASM Visual IDE
    (c) на правах рекламы
    Скрыть объявление

Перехват системных сервисов, ищу пример

Тема в разделе "WASM.X64", создана пользователем ntcdm, 23 май 2009.

  1. ntcdm

    ntcdm New Member

    Публикаций:
    0
    Регистрация:
    17 апр 2007
    Сообщения:
    247
    В Windows XP и Vista 32bit использую перехват SDT для некоторых системных сервисов.

    Необходимо также сделать аналогичный функционал в XP 64 и Vista 64. Но насколько я понял это не такая простая задача по причине Patch Guard и потому что в SDT теперь хранятся смещения.

    Подскажите, есть ли где готовые примеры с исходниками, успешно перехватывающие SDT в указанных ОС?
    Буду премного благодарен!
     
  2. WaterGhost

    WaterGhost New Member

    Публикаций:
    0
    Регистрация:
    15 июн 2007
    Сообщения:
    130
    +1 Тоже интересно посмотреть на способ перехвата в SDT на 64 битных ОС
     
  3. ntcdm

    ntcdm New Member

    Публикаций:
    0
    Регистрация:
    17 апр 2007
    Сообщения:
    247
    Я кстати тем временем нашел кое-что: http://code.google.com/p/easyhook-continuing-detours/

    Заявлен перехват АПИ на 64-битных системах также. там вначале идет дот-нет, поэтому просьба не плеваться. В файлах есть кодес драйвера, со вставками на ассемблере.

    Было бы интересно услышать мнения знающих людей :)
     
  4. katrus

    katrus New Member

    Публикаций:
    0
    Регистрация:
    7 мар 2007
    Сообщения:
    612
    Основаная проблема в том, что SSDT хуки в х64 системах требуют обхода patch guard и поэтому официально запрешены. Если Вы разрабатываете легальный софт - нужно искать другие пути.
     
  5. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    1
    Регистрация:
    11 июн 2004
    Сообщения:
    3.389
    Адрес:
    Russia
    katrus
    Ну проблемы как таковой нету. Никто не мешает изменить атрибуты доступа в PTE, для вашей области памяти.
     
  6. WaterGhost

    WaterGhost New Member

    Публикаций:
    0
    Регистрация:
    15 июн 2007
    Сообщения:
    130
    Тогда вопрос. Как разработчики антивирусов решают эту проблему? Имхо им надо легальный софт творить, а вирусописателям на это наплевать они просто патчгуард обойдут и им пофиг будет на легальность а антивирусописатели будут смирно в сторонке леденец сосать?
     
  7. x64

    x64 New Member

    Публикаций:
    0
    Регистрация:
    29 июл 2008
    Сообщения:
    1.370
    Адрес:
    Россия
    Ребят, ну что за дремучесть такая? Функциональность обычно сигнатурного антивирусного сканера легко и непринуждённо решается файловыми фильтрами. Функциональность фаерволов покрывается пакетными и транспортными фильтрами. Вот с проактивной защитой сложнее, это да, но не намного, на самом деле. Значительная часть перехватов здесь решается хуками на методы типов. Ещё часть решается колбеками на реестровые операции. Часть решается через file system filter callbacks. Реализовать самозащиту вообще не проблема. Всё вышеперечисленное документировано (кроме методов типов) и работает на 64-битных системах. Чего ещё надо-то?