[Ayuda] Hooking kernel Mode

Iniciado por Miseryk, 16 Septiembre 2010, 23:30 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas 1 2
Acciones del Usuario

Miseryk

#10
17 Septiembre 2010, 04:46 AM Ultima modificación: 17 Septiembre 2010, 04:56 AM por Miseryk
Cita de: ctlon en 17 Septiembre 2010, 04:37 AM
como ya te he dicho, dudo que exista la equivalente a MessageBox. de todos modos ya te he dicho, puedes hacer el tipico jmp que tu ya has hecho en modo usuario y aplicarlo de igual forma o leer sobre la otra forma que es mas sencillo.

Y como hacen algunos programas para ocultar procesos, lo único que se es que tienen por ejemplo HideDriver.sys, ese sí tiene alguna equivalencia?




Gracias por la ayuda.
Can you see it?
The worst is over
The monsters in my head are scared of love
Fallen people listen up! It's never too late to change our luck
So, don't let them steal your light
Don't let them break your stride
There is light on the other side
And you'll see all the raindrops falling behind
Make it out tonight
it's a revolution

CL!!!

bizco

#11
17 Septiembre 2010, 05:15 AM Ultima modificación: 17 Septiembre 2010, 05:17 AM por ctlon
La equivalencia me refiero a la api, por ejemplo CreateFile tiene su funcion en modo kernel que es llamada cuando usas esta api, esto cuando leas documentacion sobre la ssdt seguro que te queda mas claro. eso es una cosa, luego el tema de ocultar procesos es otra que puede hacerse de distintas formas. Vas a tener que leer sobre como funciona windows internamente para comprender las cosas, asi que como ya te comente lee desde el primer link y cuando tengas clara una cosa empieza con otra.

Date un paseo por este tema http://foro.elhacker.net/analisis_y_diseno_de_malware/introduccion_a_la_programacion_de_drivers_en_windows-t231193.0.html
Imprimir
Ir Arriba Páginas 1 2
Acciones del Usuario