Законность патча и сплайсинга драйверов в памяти

Тема в разделе "WASM.NT.KERNEL", создана пользователем Rodin, 8 июн 2008.

  1. Rodin

    Rodin New Member

    Публикаций:
    0
    Регистрация:
    30 апр 2007
    Сообщения:
    125
    Как известно, большинство руткитов скрывают файлы на диске, ключи в реестре и т.п. патчем/сплайсингом драйверов.

    Могу ли я, например, по нижеописанным изменениям однозначно сказать что это действия руткита? Если нет, то приведите плиз примеры легального ПО использующего такие техники

    1) сплайсинг ZwCreateFile/NtCreateFile
    2) подмена адресов и сплайсинг IRP_MJ и FastIoDispatch в \FileSystem\Ntfs, \Device\Disk
    3) сплайсинг IRP_MJ и FastIoDispatch в \FileSystem\Ntfs, \Device\Disk
     
    Rodin, 8 июн 2008
    #1
  2. katrus

    katrus New Member

    Публикаций:
    0
    Регистрация:
    7 мар 2007
    Сообщения:
    612
    антивирусы и всякие защитные программы хукают примерно те-же функции. Так, что "однозначно" сказать нельзя. Но можно добавить всякие эвристики
     
    katrus, 8 июн 2008
    #2
  3. 2FED

    2FED New Member

    Публикаций:
    0
    Регистрация:
    20 фев 2008
    Сообщения:
    1.002
    Rodin Если у тебя на компе не стоит антивирусного ПО то можно сказать однозначно что это нечесть.
     
    2FED, 8 июн 2008
    #3
  4. asmfan

    asmfan New Member

    Публикаций:
    0
    Регистрация:
    10 июл 2006
    Сообщения:
    1.004
    Адрес:
    Abaddon
    Нет нельзя. Есть ПО мирного характера с руткит технологиями.
     
    asmfan, 8 июн 2008
    #4