Mensajes

Podrias usar la API IsDebuggerPresent, pero eso es muy facil de saltar, si lo debugueas con el olly y tene los plug-ins adecuados se lo saltara automaticamente....

[WaitForSingleObject]

Quieres que tu programa detecte si otro programa esta ejecutandose y que tu programa continue al cerrarse el otro??? Si es asi utiliza WaitForSingleObject

Otra cosa, ese error se produce al debugguear tu programa solamente??? 

  ni me habia fijado   

Buena observación 

http://www.kriptopolis.org/jaqueando-vista

Lo lei hace dias y no me acordaba de donde 

/quote]

Con driver de verdad te refieres a un driver firmado????

Ok, asi que no hay posibilidad de que el driver se "termine" el mismo, no??

Bueno, no hace falta 

Gracias Eternal 

Si, ya sabia que no era el PID, aunque lo llame asi por llamarlo de algun modo 

Por cierto eternal, el IoDeleteDriver, que le tengo que pasar para terminar el proceso de mi driver??? el PEPROCESS?? En google no me sale eso  ademas, en otros codigos vi que utilizaban el IoDeleteSymbolicLink, pero tampoco se que pasarle....

Muchas gracias a los 2 

[aae47aa0]

Por fin lo e cargado.... Me a dado esto:

Driver cargado
Mi PID es: 86FC69C8h
La direccion de zwopenprocess es: 80552568h

Por lo que se puede ver que zwopenprocess no esta hookeada, y yo me pregunto, se puede hacer el proceso inverso??? es decir, sacar desde la funcion el nombre de esta funcion??? para asi "rastrear" la SSDT para buscar que apis estan hookeadas???

En el post que trabajasteis el sexe vi que el tio que tambien participaba tenia un programa para ver que API's estaban hookeadas por el sexe, este porgrama qual es???

Por si te sirve de algo, aqui te dejo el dumpeado de la SSDT:

lkd> dd 868a2588
868a2588  80598746 805e5914 805e915a 805e5946
868a2598  805e9194 805e597c 805e91d8 805e921c
868a25a8  8060a880 8060b5d2 805e0cac 805e0904
868a25b8  805c9928 805c98d8 8060aea6 805aa334
868a25c8  8060a4be 8059cbbc 805a4786 805cb406
868a25d8  804feed0 8060b5c4 8056ae64 805343f2
868a25e8  80603b90 aae47aa0 805e9694 80618a56
868a25f8  805edb86 80598e34 80618caa 805986e6

Un Saludo 

Haber, ahora ya estoy en casa, e intentado hacer practicas y tengo un fallo (ya sabia que lo tendria), aqui el codigo:

Código (asm) [Seleccionar] Expandir

format PE native

entry DriverEntry

include 'INCLUDE\win32a.inc'
include 'INCLUDE\ddk\structs.inc'
include 'INCLUDE\ddk\ntddk.inc'
include 'INCLUDE\ddk\ntstatus.inc'
include 'INCLUDE\ddk\native_api.inc'
include 'INCLUDE\ddk\stuff.inc'



section '.c' code readable writeable executable

proc GetAddr n
     mov eax, 4
     mov ecx,[n]
     mul ecx
     mov ecx,[KeServiceDescriptorTable]  ;LocaLizar KiServiceTable //Aqui el fallo
     mov ecx,[ecx]                       ;KierviceTable
     add eax,ecx
     ret
endp

proc DriverEntry DriverObject, rp
     push msg
     call [DbgPrint]
     call [IoGetCurrentProcess]
     push eax
     push msg3
     call [DbgPrint]
     push 7ah    ; Numero de la funcion
     call GetAddr
     push eax
     push msg4
     call [DbgPrint]
     mov eax,STATUS_SUCCESS
     ret
endp

section '.d' data readable writeable

msg  db 'Driver cargado',0
msg3 db 'Mi PID es: %Xh',0
msg4 db 'La direccion de zwopenprocess es: %Xh',0

data import

syslibrary ntoskrnl,'ntoskrnl.exe'

import ntoskrnl,DbgPrint,'DbgPrint',\
                IoGetCurrentProcess,'IoGetCurrentProcess'


end data

section '.reloc' data fixups readable discardable

El fallo es en la linea que marque, se supone que se tiene que "declarar" o algo, no??? e estado mirando otros codigos aprecidos (http://www.rohitab.com/discuss/index.php?showtopic=17892&mode=threaded&pid=10020467) y tampoco se declara....Sacame de dudas Mek 

intentare pasar sin, con el Debugger ese (no me acuerdo como se llama)