Здравствуйте.
Я разрабатываю Kernel-mode проактивную защиту. Она основана модификации таблицы системных вызовов. Реализованно:
1)Есть загрузчик драйвера
2)Есть сам драйвер перехватчик
Драйвер пока умеет делать процесс невидимым и и запрещает его уничтожение.

Есть некоторые трудности:
1)У меня нет нормального справочника описывающего недокументированные функции и структуры данных ядра(дизассемблером я ещё плохо пользуюсь)
2)В тех материалах которые есть у меня даже если что то описывается то не до конца.
Пример NtQuerySystemInformation есть описание нескольких типов входов, а их намного больше

Что нужно реализовать по минимуму:
1)Скрытие файла, невозможность удаления/изменения
2)Скрытие ключа реестра, невозможность удаления/изменения
3)Контроль сети

Буду рад любой помощи. Спасибо за внимание.

| Сообщение посчитали полезным:

забейте, продавайте имхо что есть - народ доверчивый...

| Сообщение посчитали полезным:

Это учебный проект и он бесплатный(ну не считая защиты по нему курсовой).

| Сообщение посчитали полезным:

haxorart пишет:
1)Скрытие файла, невозможность удаления/изменения
2)Скрытие ключа реестра, невозможность удаления/изменения
3)Контроль сети
Вот создатели троянов будут довольны

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Возможно. Но почему то KAV и KIS делает тоже самое))) Он скрывает некоторые свои файлы, закрывает ключи реестра где загрузка драйверов, полный перехват системы, делает свои потоки неуничтожимыми простыми средствами.

| Сообщение посчитали полезным:

haxorart пишет:
Я разрабатываю Kernel-mode проактивную защиту. Она основана модификации таблицы системных вызовов. - кому оно такое надо?
1)Есть загрузчик драйвера -
2)Есть сам драйвер перехватчик - очень много...
haxorart пишет:
Это учебный проект и он бесплатный(ну не считая защиты по нему курсовой). -я б на месте препода поставил 5 тому кто в пару-тройку строк написал снятие этой "защиты"
Драйвер пока умеет делать процесс невидимым и и запрещает его уничтожение - это для тро.. проактивки конечно главное...

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Это учебный проект. Я не претендую на какую-то Суперважность или Суперкрутость его, но нужно же с чего то начинать. Если у кого то есть предложения лучше, то я весь внимания.

| Сообщение посчитали полезным:

при таком подходе и базе знаний:
1)Скрытие файла, невозможность удаления/изменения - открой его OpenFile, без шары, не удалишь без перезагрузки
2)Скрытие ключа реестра, невозможность удаления/изменения Русиновича почитай+права доступа, +открытый хендл.
3)Контроль сети вставь свою dll в LSP
Add: в ядро лезть не стоит.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Уже поздно. Короче от этой темы толку 0. Тема закрыта.

| Сообщение посчитали полезным:

Дэвид Соломон, Марк Руссинович, "Внутреннее устройство Microsoft Windows 2000"
Свен Шрайбер, "Недокументированные возможности Windows 2000"
Джеффри Рихтер, "Windows для профессионалов: создание эффективных Win32-приложений с учетом специфики 64-разрядной версии Windows"
С.Сорокина - Программирование драйверов и систем безопасности

Описание недокументированных функций NT
wasm.ru/baixado.php?mode=doc&id=24
wasm.ru/article.php?article=hiddndt - обнаружение скрытых процессов
wasm.ru/article.php?article=apihook_3 - про перехват KeServiceDescriptorTable

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

haxorart пишет:
Это учебный проект и он бесплатный
что тут сказать делай Open Source проект, может тогда что-то и получится...

| Сообщение посчитали полезным:

> 1)Скрытие файла, невозможность удаления/изменения - открой его OpenFile, без шары, не удалишь без перезагрузки
доо. а как же открытие тома в raw mode/изменение шары прямо в ядерной таблице.

> 2)Скрытие ключа реестра, невозможность удаления/изменения Русиновича почитай+права доступа, +открытый хендл.
см. 1

> 3)Контроль сети вставь свою dll в LSP
отличный ответ) тди фаерволы пишут идиоты)

> Add: в ядро лезть не стоит.
вероятно не ему одному

-----
Shalom ebanats!

| Сообщение посчитали полезным:

SLV ты забыл добавить из того же топика:при таком подходе и базе знаний:

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

SLV, HiEndsoft
Да хватит на чела гнать. Он только попросил инфы, а вы его уже по самую шею фикалиями закидываете...
Берите пример с Coderess'а
Все когда-то учатся

-----
Research For Food

| Сообщение посчитали полезным:

Спасибо CodeRess за инфу.
Спасибо daFix за понимание.
HiEndsoft ты знаешь мой подход или базу знаний?
IHateWindows ну так и будет, только пока нечего показывать, как что то будет- буду над опен сорс думать.

| Сообщение посчитали полезным:

Анекдот в тему:

Чем отличаются немецкие, английские и русские форумы?
На немецком форуме спрашиваешь - тебе отвечают.
На английском форуме спрашиваешь - тебя игнорируют.
На русском форуме спрашиваешь - тебе долго и обстоятельно разъясняют что ты дурак.

Мораль сей басни такова: может быть аффтар и мудак, но вы бы постеснялись.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

ntldr это не анекдот, а видимо, истиннна

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Проактивная защита на хуках всегда была говном. В борьбе, кто кого перехукает, почти никогда не победить защите, хотя бы потому, что она должна заботиться о стабильности и совместимости.
Толку действительно 0.
Раз Короче от этой темы толку 0. Тема закрыта. то закрою топик.

| Сообщение посчитали полезным: