obregistercallbacks 예제

Tempo de leitura: menos de 1 minuto

0 Flares Filament.io 0 Flares ×

다행히이것은 당신에게 보안 제품의 꽤 숫자에 의해 사용되는이 안티 디버깅 방법에 대한 좋은 소개를 제공합니다. 이 흥미로운 발견 하는 경우, 사용할 수 있는 버그 현상금의 많음이 있다, 버그 군중에 AVG에 대 한 좋은 하나를 포함 하 여 여기, 실란스, 소포스… (위의 것을 취약점으로 올리려고 하지는 않겠지만 DKOM은 🙂 범위를 벗어날 수 있습니다. 음, 쉬운 peasy, 이것은 AV 및 보안 소프트웨어가 악의적 인 종료, 코드 주입, 메모리에서 자격 증명 도난 (잘 당신은 메모리 -.- 명확한 텍스트로 합리적인 데이터를 유지하는 경우 그냥 바보입니다) 및 모든 종류의 64비트 시스템에서 현재 보호되는 방법입니다 시스템 손상으로 이어질 수 있는 조작의. 콜백 감지.syssssssssssss 나는이 일을하기 위해 우리는 커널 모드 콜백을 사용해야합니다! 하지만 어떻게 하는지 모르겠어요? 이 게시물은 모든 제품에 대한 이러한 종류의 후크를 식별하고 제거하는 일반적인 방법을 보여주기 위한 것이지만, 위에서 OpenProcess 시도를 가로 채고 수정하는 드라이버를 발견했다는 것이 분명합니다. . Part2:2:((오레지스터콜백연산)를 먼저 찾아서 아래 핸들러를 등록하는 것을 발견할 수 있습니다. 문제는 무엇을 할 수 있습니까? 네오 는 나를 위해 당신의 complated 소스 코드를 연결할 수 있습니까? 감사합니다 실제로 작동하는이 그룹에 있는 드라이버가 있습니까! 이 코드는 잘 로드를 성공적으로 컴파일하지만 여전히 나는 당신의 드라이버가 언로드 할 때 프로세스를 종료 할 수 있습니다, 당신이 제대로 커널을 알리기 위해 이전에 글로벌 개체에 저장 한 RegistrationHandles에 ObUnRegisterCallbacks를 호출하는 것을 잊지 마세요 더 이상 이러한 작업을 가로채지 않을 것입니다. 콜백_BODY 콜백바디[] 콜백노드가 콜백연수로 콜백연산자 : “AVG 자체 보호 모듈”이 디버거를 부착하는 능력을 제한하는 드라이버가 될 것이라는 것이 합리적입니다 (비록 이것이 훨씬 더 가능성이 높습니다. 맬웨어가 바이러스 백신 엔진을 변조하는 것을 막으려고 할 때 발생하는 부수적 손상). 드라이버를 자세히 살펴보면 이 드라이버가 OpenProcess 호출을 조작한 징후가 있는지 살펴보겠습니다. 흥미로운 아이디어.

아무도 NtTerminateProcess 후크를 언급하지? ObRegisterCallbacks, 마이크로소프트를 인용, “스레드에 대 한 콜백 루틴의 목록을 등록 하는 루틴, 프로세스, 그리고 데스크톱 핸들 작업.”. 이 작업은 커널 모드에서 수행되며 기본적으로 OpenProcess 호출이 수행될 때 및 OpenProcess 호출이 반환될 때 드라이버 작성기에 알림을 받을 수 있는 기능을 노출합니다. . 디버거는 대상 프로세스에 대한 적절한 액세스 권한이 있어야 하며 PROCESS_ALL_ACCESS에 대한 프로세스를 열 수 있어야 합니다. 디버거에게 전체 액세스 권한을 부여하는 보안 설명자로 대상 프로세스를 만든 경우 DebugActiveProcess가 실패할 수 있습니다. 디버깅 프로세스에 SE_DEBUG_NAME 권한이 부여되고 활성화된 경우 모든 프로세스를 디버깅할 수 있습니다.

Os comentários foram encerrados, mas trackbacks e pingbacks estão abertos.