много
Насколько я понимаю самым большим препятствием к распространению subj был именно запрет на загрузку неподписанных драйверов. После его обхода виста и windows 7 представляют собой отличное благоустроенное гнездо для проживание всякого
- во-первых у них всегда есть fltMgr.sys и с написанием фильтра файловой системы справится
любойшкольник. Значит сокрытие файлов и директорий делается намного проще, чем поддерживать зоопарк версий под 32битные версии windows (на некоторых из них fltMgr.sys например нету) - во-вторых у них всегда есть CmRegisterCallback, про который писал даже детский юмористический журнал ксакеп. Значит сокрытие веток в реестре представляет тривиальную задачу
- в-третьих у них всегда есть windows filtering platform. Так что фильтровать и следить за трафиком опять же проще чем под 32битным дурдомом
- в-четвертых у них всегда есть ObRegisterCallbacks
- в-пятых все вышеописанное богатство (кроме fltMgr.sys) не предоставляет механизмов даже простой энумерации зарегистрированных драйверов и хуков. грабь воруй убивай - совершенно анонимно с точки зрения windows
Да, страшно нынче жить :)
ОтветитьУдалитьа вот и спасатели вселенной™ подтянулись
ОтветитьУдалитьнапомни мне лучше когда в вашем Продукте™ появился ark, кто вам его написал и ловите ли вы все версии tdl например ?
Можно ещё диспетчер исключений перехватывать через сплайсинг nt!KdpTrap (да, секцию PAGEKD PatchGuard пропускает). В сумме с отладочными регистрами это позволяет брать под контроль вообще любой участок кода ядра незаметным для PatchGuard-а образом.
ОтветитьУдалитьАлсо, наш Bootkit Remover лечит новый TDL из user mode бай дизайн.
можно много чего придумать
ОтветитьУдалитьисходный посыл - что если у нас уже есть код в ядре - то никакой patch guard не поможет, и есть куча уже готовых механизмов, которые можно использовать для всяких разных целей. Причем в отличие даже от xp их реально много и использовать их гораздо проще. IMHO есс-но
А я разве что-то говорил? :-)
ОтветитьУдалитьДа и ответы ты лучше меня знаешь ;-)
И вообще - я уже того, практически забыл как эта ваша windows выглядит...
ОтветитьУдалитьна лицензионную венду бабла на хватает ? понемаем
ОтветитьУдалить