Calling Undocumented APIs in the Windows Kernel
От: -prus-  
Дата: 12.08.14 17:33
Оценка: 10 (1)
Тут. Может кому пригодится.
С уважением,
Евгений
Re: Calling Undocumented APIs in the Windows Kernel
От: okman Беларусь https://searchinform.ru/
Дата: 12.08.14 19:46
Оценка:
Здравствуйте, -prus-, Вы писали:

P>Тут. Может кому пригодится.

Спасибо.
Идея, правда, не новая. На мой взгляд, обычный поиск Zw-функций по сигнатурам надежнее
(обсуждалось на WASM около года назад, практически "по косточкам").

А вместо использования имен образов ядра (ntoskrnl.exe, ntkrnlpa.exe и т.п.) проще
взять адрес любой известной функции ядра типа ZwCreateFile и проверить, лежит ли она в
диапазоне между image base и (image base + image size) модуля. Если лежит — это kernel.
Re[2]: Calling Undocumented APIs in the Windows Kernel
От: -prus-  
Дата: 13.08.14 06:33
Оценка:
Здравствуйте, okman, Вы писали:

O>Идея, правда, не новая. На мой взгляд, обычный поиск Zw-функций по сигнатурам надежнее
O>(обсуждалось на WASM около года назад, практически "по косточкам").

А ссылки нету случайно?
С уважением,
Евгений
Re[3]: Calling Undocumented APIs in the Windows Kernel
От: okman Беларусь https://searchinform.ru/
Дата: 13.08.14 10:56
Оценка: 3 (1)
Здравствуйте, -prus-, Вы писали:

P>А ссылки нету случайно?

Хук функции User32.dll в ЮМ из ядра
http://www.wasm.ru/forum/viewtopic.php?id=48879
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.