ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > Программирование > Реверсинг
Перезагрузить страницу DeviceLock
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

DeviceLock
  #1  
Старый 18.12.2009, 00:14
А®ТеS
Участник форума
Регистрация: 25.11.2006
Сообщений: 291
Провел на форуме:
1537850

Репутация: 536
Отправить сообщение для А®ТеS с помощью ICQ
По умолчанию DeviceLock
Всем доброго времени суток! Вопрос в следующем: каким образом программа DeviceLock перехватывает обращение к устройствам?
 
Ответить с цитированием

  #2  
Старый 18.12.2009, 17:39
neprovad
Постоянный
Регистрация: 19.10.2007
Сообщений: 794
Провел на форуме:
1013791

Репутация: 711


По умолчанию
Самозащита видимо.
Код:
NtCreateKey
Hooked by: C:\WINDOWS\System32\Drivers\DeviceLockDriverHlpExtG4.SYS

NtDeleteKey
Hooked by: C:\WINDOWS\System32\Drivers\DeviceLockDriverHlpExtG4.SYS

NtDeleteValueKey
Hooked by: C:\WINDOWS\System32\Drivers\DeviceLockDriverHlpExtG4.SYS

NtEnumerateValueKey
Hooked by: C:\WINDOWS\System32\Drivers\DeviceLockDriverHlpExtG4.SYS

NtMapViewOfSection
Hooked by: C:\WINDOWS\System32\Drivers\DeviceLockDriverHlpExtG4.SYS

NtOpenKey
Hooked by: C:\WINDOWS\System32\Drivers\DeviceLockDriverHlpExtG4.SYS

NtOpenProcess
Hooked by: C:\WINDOWS\System32\Drivers\DeviceLockDriverHlpExtG4.SYS

NtOpenThread
Hooked by: C:\WINDOWS\System32\Drivers\DeviceLockDriverHlpExtG4.SYS

NtQueryMultipleValueKey
Hooked by: C:\WINDOWS\System32\Drivers\DeviceLockDriverHlpExtG4.SYS

NtQueryValueKey
Hooked by: C:\WINDOWS\System32\Drivers\DeviceLockDriverHlpExtG4.SYS

NtSetValueKey
Hooked by: C:\WINDOWS\System32\Drivers\DeviceLockDriverHlpExtG4.SYS

NtTerminateProcess
Hooked by: C:\WINDOWS\System32\Drivers\DeviceLockDriverHlpExtG4.SYS

NtTerminateThread
Hooked by: C:\WINDOWS\System32\Drivers\DeviceLockDriverHlpExtG4.SYS
Налицо хак ядра
Код:
ntoskrnl.exe+0x000201D2, Type: Inline - RelativeJump 0x804F01D2 [ntoskrnl.exe]
ntoskrnl.exe+0x0002C7D4, Type: Inline - PushRet 0x804FC7D4 [unknown_code_page]
ntoskrnl.exe+0x0002C80C, Type: Inline - RelativeJump 0x804FC80C [ntoskrnl.exe]
ntoskrnl.exe+0x0002C8A8, Type: Inline - PushRet 0x804FC8A8 [unknown_code_page]
kernel callback
Код:
CreateThread + LoadImage
Во всем виноват драйвер
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ