Комментарии 16
Зачем вы цитируете Хогланда?
Кто захочет, почитает «Subverting the windows kernel», тем более что эту книгу издавали и на русском.
Классика, разработчики антивирусов наверное её уже наизусть знают. Но как показывает практика, антивирусы принципиально бессильны против кода, получившего ring0.
Кто захочет, почитает «Subverting the windows kernel», тем более что эту книгу издавали и на русском.
Классика, разработчики антивирусов наверное её уже наизусть знают. Но как показывает практика, антивирусы принципиально бессильны против кода, получившего ring0.
Добро пожаловать в 2006 год, именно тогда эта технология была более-менее успешной и новой.
Увы сейчас отсоединения из этого списка с главой, кстати, PsActiveProcessHead ловится даже школьными наколеночными поделками.
PS: Эта технология настолько обсосана где только можно, что публиковать такую куцую заметку абсолютно не о чём на хабре имхо совсем не стоит.
Увы сейчас отсоединения из этого списка с главой, кстати, PsActiveProcessHead ловится даже школьными наколеночными поделками.
PS: Эта технология настолько обсосана где только можно, что публиковать такую куцую заметку абсолютно не о чём на хабре имхо совсем не стоит.
Я ее использую сейчас в 2011г в своих целях. Не ловится на корпоративном на касперском workstation и думаю на большенстве анлогичном.
Я вот почти не знаю людей, которые знают этот метод, но знаю очень много тех, кому было бы интересно — это камень в сторону «не стоит».
Я вот почти не знаю людей, которые знают этот метод, но знаю очень много тех, кому было бы интересно — это камень в сторону «не стоит».
возможно я вас расстрою, но поглядите сюда.
это конец 2009 года.
Колонка -02- этот ваш DKOM, 95% зелёных плюсов намекают то, что это немножко устарело.
это конец 2009 года.
Колонка -02- этот ваш DKOM, 95% зелёных плюсов намекают то, что это немножко устарело.
насчет 2006 обманул, на самом деле в 2004 на BlackHat'e описали данную методику.
Там кстати куда более понятно и предметно всё изложено.
Там кстати куда более понятно и предметно всё изложено.
ах да, приведенные вами смещения уникальны для различных версий винды, а то и сервиспаков.
Блин, вот вы злые. Потратил время, хотел сделать добро, рассказать интересное людям. Нет блин, засрали, заминусовали каждый коммент, насрали в карму.
Жесть как обидно за хабр и за таких злых людей! :(
Жесть как обидно за хабр и за таких злых людей! :(
А мне было интересно. Не расстраивайтесь! Никакое доброе дело не останется безнаказанным.
Реально похоже минус поставить приятнее на волне праведного гнева чем плюс от благодарности.
Интересно а суммарный вес всей кармы на хабре в плюсе или в минусе?
Реально похоже минус поставить приятнее на волне праведного гнева чем плюс от благодарности.
Интересно а суммарный вес всей кармы на хабре в плюсе или в минусе?
Теория теорией, а рабочий POC код очень не помешал бы.
Если статья рассчитана на программистов, имеющих опыт работы в Ring0, то они не найдут здесь ничего нового. DKOM, хуки SSDT (и т.п. способы сокрытия процессов) описывались уже много раз (Колисниченко, Хоглунд и др.).
Если эта статья рассчитана на пользователя, не разбирающегося в программировании под ядро Windows NT, то она только добавит вопросов читателю. Пост похож на запись из cookbook'а (кратко, но некоторые вопросы рассмотрены слишком детально).
Если бы вы написали пример драйвера, скрывающего какой-нибудь процесс, приложили несколько схематических изображений списков структур, то пост имел бы шанс получить неплохую оценку.
Если эта статья рассчитана на пользователя, не разбирающегося в программировании под ядро Windows NT, то она только добавит вопросов читателю. Пост похож на запись из cookbook'а (кратко, но некоторые вопросы рассмотрены слишком детально).
Если бы вы написали пример драйвера, скрывающего какой-нибудь процесс, приложили несколько схематических изображений списков структур, то пост имел бы шанс получить неплохую оценку.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Теория о сокрытии процессов руткитами (DKOM)