Перехват функций из Ring0

Сейчас на форуме: (+5 невидимых)

Посл.ответ	Сообщение
maxPD Ранг: 12.0 (новичок) Активность: 0.01↘0 Статус: Участник	Создано: 23 июля 2007 12:25 · Личное сообщение · #1 Проблема вот в чем: нужно из драйвера перехватывать функции типа RtlZeroMemory но те которые по адресам 77***** короче пользоваиельские проблема №1 как узнать адрес функции (не главная так как в принципе есть соображения) №2 как организовать перехват есть мысль менять адреса экспорта. Есть ли способ поставить перехват из ядра без отслеживания запускаемых процессов. (наверно нет)

asd Ранг: 162.2 (ветеран) Активность: 0.09↘0 Статус: Участник	Создано: 23 июля 2007 13:27 · Личное сообщение · #2 maxPD 1)узнать адрес можно пропарсив экспорт ntdll.dll. Базу ntdll можно найти через ZwQuerySystemInformation 2)способ перехвата выбирай сам. В нете куча инфы по способам перехвата. Менять таблицу экспорта в уже запущеном приложении не лучшая идея - все кому надо уже наверняка получили адрес нужной ф-ии. так что лучше сплайсингом. 3)Для того чтобы поставить перехват на конкретный процес нужно переключить контекст соответствующим образом. Всё это горами лежит в гугле на любом языке. Ты хочешь ставить перехват на отдельный процес или на все текущие и вновь запускаемые? maxPD пишет: Есть ли способ поставить перехват из ядра без отслеживания запускаемых процессов пропатчить ntdll на диске
maxPD Ранг: 12.0 (новичок) Активность: 0.01↘0 Статус: Участник	Создано: 23 июля 2007 17:37 · Личное сообщение · #3 спасибо,в принципе я так и думал asd пишет: пропатчить ntdll на диске не вариант
SergX Ранг: 226.0 (наставник), 67thx Активность: 0.16↘0 Статус: Участник	Создано: 23 июля 2007 17:42 · Личное сообщение · #4 Посмотри либы MS-REMа
maxPD Ранг: 12.0 (новичок) Активность: 0.01↘0 Статус: Участник	Создано: 23 июля 2007 18:06 · Личное сообщение · #5 SergX пишет: Посмотри либы MS-REMа Смотрел там малость о другом
maxPD Ранг: 12.0 (новичок) Активность: 0.01↘0 Статус: Участник	Создано: 23 июля 2007 18:33 · Личное сообщение · #6 asd пишет: 3)Для того чтобы поставить перехват на конкретный процес нужно переключить контекст соответствующим образом. кинь сылку где почитать можно
SLV Ранг: 309.8 (мудрец), 21thx Активность: 0.17↘0 Статус: Участник	Создано: 23 июля 2007 19:27 · Личное сообщение · #7 мб KeAttachProcess... ----- Shalom ebanats!
n0name Ранг: 61.4 (постоянный), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 23 июля 2007 19:30 · Личное сообщение · #8 SLV Лучше KeStackAttachProcess.
n0name Ранг: 61.4 (постоянный), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 23 июля 2007 19:31 · Личное сообщение · #9 maxPD поищи на форуме rootkits.ru, там кто-то похожим занимался. agent007 вроде как.
maxPD Ранг: 12.0 (новичок) Активность: 0.01↘0 Статус: Участник	Создано: 23 июля 2007 19:38 · Личное сообщение · #10 все разобрался. по поводу Посмотри либы MS-REMа да прав на 100% спасибо всем!
maxPD Ранг: 12.0 (новичок) Активность: 0.01↘0 Статус: Участник	Создано: 23 июля 2007 19:39 · Личное сообщение · #11 кстати подобная тема уже поднималась: --> Link <--

Для печати