Ну вот, эт снова я
Взялся я, как и обещал, за защиту
ZoneAlarm Pro (
ZA) версии
7.0. Пока особо не копался, но есть первые впечатления. Выяснил пока только то, что методы, применнённые мной при снятии защиты
Outpost и
KAH — не подействовали. Странно. Ниже идёт в удобочитаемом виде, то что я хочу рассказать сейчас.
1.
ZA патчит
IAT'ы
tcpip.sys и
wanarp.sys. По крайне мере так сообщает последняя версия
Rootkit Unhooker (
RkUnhooker). При чём если в случае с
Outpost и
KAH мне удавалось ставить хуки на
IAT'ы этих драйверов, а также
EAT ndis.sys'а так, чтобы вызовы всегда шли сначала ко мне, то теперь
RkUnhooker показывает, что там не мой обработчик, а обработчик
ZA (драйвер
vsdatant.sys).
2. Каждые
5 секунд мой тестовый драйвер (aka руткит) соединяется с неким сервером по
TCP. Отсылает/принимает некоторое кол-во (не более
2 КБ) данных и закрывает соединение. В
DbgView смотрю свои отладочные логи и вижу, что иногда
ZA пресекает-таки мои попытки (сбой происходит иногда при коннекте, иногда при отправке, иногда при получении...). Но не всегда, вот чего понять-то не могу! Значит моё
предположение 1 (см. ниже) верно?
1.
ZA периодически восстанавливает свой перехват (обработчики протоколов
NDIS, таблицы
IAT/
EAT драйверов...).
2.
ZA удаёться-таки поставить хук на
IAT/
EAT tcpip.sys,
wanarp.sys и/или
ndis.sys (внимание!) — позже меня, но раньше чем те зарегают первый протокол. Imho, это предположение не верно, ибо см.
п.2 в разделе
Симптомы.
Пока вопросы такие:
1. Как понимать
п.1 Симптомов?
2. Какое из
Предположений верно?
Кто-то в топике про
KAH говорил, что
ZA регает свой
NDIS-протокол и может хукать обработчики других протоколов в любой момент времени. Автора этого утверждения убедительно прошу отписаться по теме!
P.S. кто-нибудь может объяснить мне дураку, зачем нужен
wanarp.sys?
P.P.S. конечно, чуть позже я буду смотреть всё это отладчиком, но может кто-то может сказать по существу уже сейчас?
