Приветствую вас, коллеги!
подскажите пож-ста, как я могу
из кернел-моде получить имя текущего пользователя,
а также имя исполняемого образа, в контексте которого
мы находимся, т.е. полный путь exe- (sys-, если возможно) файла.
и вот еще: если интерактивного юзера еще не было, т.е.
если мы при загрузке работаем как систем (я переделал) ntoskrnl.exe,
то на какой стадии загрузки мы можем начать юзать iocreatefile?
И будет ли система каллить эту функцию, если i/o manager еще не инициализировался?
заранее благодарен за ответ =)

| Сообщение посчитали полезным:

_Immortal_
Знаете, а я думал, что Касперский творит произвол Неужели такие модификации необходимы, думаю, если другие вендоры обходятся без них, значит есть способ.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Способы, конечно, есть. Вендоры
их активно используют, пытаясь
сделать свои среды мультисистемными.
Но вот глюк: некоторые "умные" вирусы
используют методы обхода таких защит:
например, используя руткиты, модифицирующие
системную цепочку eprocess'ов, оставляя только
список потоков планировщика, внедряясь в середины
системных сервисов, т.е. не переписывая Dispath table,
и т.д. Да и сама эта защита сильно зависит от
действий юзера в отношении их продуктов.
Например, админ может выгрузить антивирус,
удалить его драйвер, и т.д.
Сильная привязка к ядру системы (как у нас),
плюс грамотная настройка внутренних контекстов
безопасности нашей навески делает систему неуязвимой
к действиям из Ring3, но бесполезной против какого-то кода,
специально (!) адаптированного для обхода нашей системы.
Наша задача не допустить исполнения левого кода в Ring0.
Вот и весь смысл моей защиты. + Она позволяет полность виртуализовать
рабочую среду процесса, создать для него виртуальную файловую систему,
запретить выход за её пределы, и т.д.
Вообще, всё что я про это думаю я напишу в статье.

| Сообщение посчитали полезным:

_Immortal_ пишет:
безопасности нашей навески делает систему неуязвимой
О да, самая неуязвимая система - не работающая

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

ntldr
Ну, может, работать она всё-таки будет.

_Immortal_
Пока не вижу необходимости в модификации файлов ядра. Более того, некторые утилиты, хранящие хэши доверенных файлов, могут такое ядро заругать, а это не есть хорошо.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Ну, может, работать она всё-таки будет.
Только у автора и недолго

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

Вот напишу тулзу, и шокирую всех её работоспособностью,
а также тонкостями в отношении вирусов =)
ARCHANGEL: так эти хэши ведь обновить можно =)
да и что такая утилита может сделать,если ntoskrnl.exe
не совпадает с её захешированной копией?показательное
программное самоубийство, типа не буду я на таком
ядре работать? =)
Ничего по моему она серьезного сделать не сможет.
Кстати, ещё Win32k.sys придется переписать, млин...Технология
такова: это не end-user-all-ready-no-trouble-much-
-fun-most-cool-the-only-right-choice тулза, а (теперь уже)
2 модуля, которые требуют некоторой грамотной внешней
настройки.
Это далеко не каспер с его мощными, беспонтовыми по большей части,
способностями, и не Nod32. Это ХАКЕРСКАЯ утилита. Hacker's Antivirus,
или лучше Hacker's trouble-shooter. В общем, допишу, увидите =)

| Сообщение посчитали полезным:

_Immortal_ пишет:
Вот напишу тулзу, и шокирую всех её работоспособностью,
а также тонкостями в отношении вирусов =)

Бугага!!

Hacker's Antivirus,
или лучше Hacker's trouble-shooter. В общем, допишу, увидите =)

Хм, это, походу, будет художественный роман.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

_Immortal_ как допишешь не удивляйся что никто себе его ставить не захочет даже для пробы.
Модификация системных файлов - последнее дело.

| Сообщение посчитали полезным:

Топик пошёл в явный оффтоп, закрыто.

| Сообщение посчитали полезным: