Własny kernel-mode ring 0 rootkit

[Solter]

Witam,
Posiadam pewien odporny proces, który funkcje takie jak OpenProcess, albo VirtualQuery ma w głębokim poważaniu. Wszędzie Error No Access .
Proces ten chroniony jest przez autorski program Hackshield, który posiada driver EagleNT.

Jako, że moje programy pracują w user-mode, chciałbym by moje instrukcje były wyoływane z kernel-mode.
Nijak wiem narazie jak się za to zabrać.

Was proszę o podanie jakichś pojęć, linków, gdzie mógłbym znaleźć więcej informacji na temat aplikacji kernel-mode.
Pozdrawiam.

 

[grzonu]

Polecam ksiazke Rootkity Sabotowanie jądra systemu windows.

Aby kod byl wykonywany w kernel-mode trzeba albo uzyc exploita(naprzyklad niedawno odkryty exploit wykozystujacy blad w wirtualnej maszynie DOS) albo napisac i zaladowac sterownik(kazdy sterownik dziala w ring0).

 

[untam3d]

[offtopic]
A ja nie polecam powyzszej ksiazki do nauki pisania sterownikow
Grzonu i autor: "Windows 2000 Undocumented Secrets, chapter: 2"
pomimo iz ksiazka dotyczy przestarzalego lekko Win2000, to jednak jest on oparty na platformie WinNT, ktora rowniez jest uzywana w WinXP i nowszych
Tam autor naprawde dobrze opisuje naprawde porzadne kwestie...
Jesli jestes bardziej zainteresowany tematem - zapraszam na PW.
[/offtopic]

Odnosnie tego programu - jesli to jest jednorazowy problem, chociaz o tym nie wspomniales, jednak napisze o tym na zas, mozesz uzyc odpowiednich programow, ktorymi "odhaczysz" (unlock/unhook) wspomniane funkcje, programy te to najczesciej narzedzia sluzace do analizy/wyszukiwania rootkitow, choc rowniez polecam "Kernel Detective", w ktorym ladnie zrobisz wiele rzeczy.

 

[grzonu]

Hmm szczerze to nie slyszalem o tej ksiazce a szkoda Trzeba bedzie sie rozejrzec.
Nie wiesz moze czy Helion ma w swojej ofercie jakis polski odpowiednik ? Albo trzeba bedzie na amazonie szukac xD

 

[swap.context]

Helion nie jest zainteresowany tego typu książkami ponieważ nie są popularne. Nie musisz jej zamawiać na Amazon'ie bo jest dostępna za free do pobrania ze strony autora:

http://undocumented.rawol.com/

swap

 

[untam3d]

@Grzonu - książka po angielsku, jakiś problem ? ;]
Autor jest jednym z moich ulubionych "Windows surgeon'ow" totez polecam zainteresowanym tematem poprzegladanie jego artykulow...

Szczerze powiedziawszy Grzonu myslalem ze juz sie zaczynasz bawic w sterownikowanie, od kiedy masz te ksiazke myslalem ze Cie pociagnie do ring0, a Ty dalej dusisz userland.

 

[grzonu]

Ja dusze ring0 ale kozystalem z w/w Sabotowanie jadra systemu windows ktore jest w zasadzie tylko o ring0 no i Windows NT/2000 Native Api Leksykon

To ze ksiazka jest po angielsku to zaden problem tyle ze jednak wole zamawiac to w helionie gdzie dostane ja po kilku dniach(ofc. jesli jest w magazynie) niz czekac na przesylke z amazonu ktora idzie duzo dluzej + wieksze koszty.

@untam3d przeciez na mojej stronie sa aktualnie 2 programy kozystajace ze sterownikow wiec nie tylko UM