duda SSDT

Iniciado por newone, 3 Septiembre 2007, 02:43 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

newone

3 Septiembre 2007, 02:43 AM
System Service Descriptor Table

Tabla utilizada por Windows para dirigir llamadas del sistema
hacia un tratamiento conveniente :

tabla de encaminamiento de los APIs.

El "enganchamiento" de la tabla del descriptor de servicio del sistema (SSDT)
con vista a su modificación es otra técnica frecuentemente utilizada.

Al modificar esta tabla, el rootkit puede reorientar la ejecución hacia su
código en vez de hacerlo hacia el módulo original del sistema.

ver http://es.wikipedia.org/wiki/RkUnhooker

Hablando de una forma amigable, la SSDT (System Service Descriptor Table) es el
lugar en el que el sistema almacena punteros a las funciones principales del sistema.

Algunos rootkits de modo kernel usualmente utilizan la siguiente técnica –
remplazan la dirección actual de la función en la tabla de direcciones (SSDT)
con una función-manejadora propia. Algunos programas comerciales también utilizan
esta técnica, por ejemplo Panda Antivirus interviene la función NtTerminateProcess
para prevenir que los programas del antivirus sean terminados. El firewall Agnitum
Outpost hace lo mismo, además interviniendo (hooking) NtWriteVirtualMemory,

para proteger a los usuarios de técnicas de Malware conocidas como inyección de código.

Programas de emulación de CD como Alcohol y Daemon Tools intervienen funciones
relacionadas con el registro para engañar a los DRM’s (Digital Right Managers o
Administrador de Derechos Digitales).

RKU puede mostrar el estado de la SSDT, mostrando que funciones
(también llamadas servicios en terminología de MS) están redireccionandas
y además da la posibilidad restaurar su direccion original.
-------------------------------------------------------------------
....................................................................................

la duda que tengo es sobre el hooking a esta tabla si me pueden aclarar alguno que lo sepa  :xD

Thaorius

#1
3 Septiembre 2007, 05:58 AM
Mirate este codigo:

http://downloads.thaorius.com/other/ale32rk.rar

Hay un post mio reciente relacionado en programacion general o c/c++, buscalo con el buscador del foro.

Hace justamente eso para ocultar procesos.

Saludos
Si te sirvio mi aporte, encontrarás más en www.teoxstudios.com. Gracias!
Buscando un buen hosting? Click aquí

newone

#2
5 Septiembre 2007, 04:15 AM
ahh muy interesante cuando lo entienda mejor y lo mire mejor te ahre algunas preguntas, igual si me quieres contar algo  :P
Imprimir
Ir Arriba Páginas1
Acciones del Usuario