SSDT Heute
-
Hallo,
das soll weder eine Anfrage sein noch habe ich irgendwelche kiminellen Absichten. Das vorab...
Nun meine Frage: Früher konnte man noch die SSDT umbiegen. Ich kann mich an meine alten Bastelein erinnern^^. Gerade Rootkits machten das gern oder tun es immer noch so.
Allerdings waren die Rootkits nicht die einzigen, die sich diese schmutzige Art von hooken zum Vorteil gemacht haben. Die Virenscanner haben es ebenfalls so getan. Zwar nicht jeder aber doch schon sehr viele. Irgendwann, ich glaube ab dem SP2 für XP, ist dann irgendwann der PatchGuard gekommen und hat der ganzen Sache einen Riegel vorgeschoben. Zwar kann man den ja noch immer aushebeln aber ein guter Virenscanner macht sowas heute nicht mehr. Und da sind wir auch schon beim Thema. Wie machen die Virenscanner das von heute? Gibt es da eine API? Und wenn ja, könnten dann nicht auch die Rootkits da andocken? Weiß das jemand?
-
Es gibt IMHO eine API.
Aber einige Sachen von MS sind nicht offen dokumentiert, d.h. die muss man IMHO anfragen, und ein separates NDA unterschreiben.
Aber das ist Jahre her, als ich diese Information mal gelesen habe. IMHO war das zu der Zeit, als Microsoft angefangen hat den verwendeten Virenscanner in die Systemsteuerung zu integrieren.
Stichwort: Security Center Integration.Du kannst Dir ja mal Clamwin ansehen:
http://www.clamwin.com/Ansonten kontaktiere Microsoft direkt.
-
Durch ein Kernel-mode Treiber unter X64 aber signiert kannst du dies erreichen.
-
@_lowbyte:
Was kann man damit erreichen? Die SSDT umbiegen? Also ich bezweifel dass das funktionieren wird. Der PatchGuard checkt alle paar Minuten(oder Sekunden? Auf jeden Fall in einem bestimmten Intervall) ob sich was geändert hat und lässt, wenn etwas nicht stimmt, alles mit einem Bluescreen abrauchen. Ich glaube aber nicht, dass das der Weisheit letzter Schluss ist, die SSDT zu manipulieren. Jedenfalls nicht für ein kommerzielles Produkt.@Martin Richter:
Was ist ein NDA? Und danke für das Beispiel. Ich werde mich da mal durchhangeln und schauen, ob ich da was finde. Ich ich bezweifel es doch. Wenn da schon jemand deinen Vertrag eingeht, dann kann es ja nicht gerade im Sinne von Microsoft sein, wenn eine OpenSource Community wieder alles rauspustet. Aber ich werde es mir mal ansehen;-)
-
Sorry, mein anderer Nick.
Habs schon gefunden: NDA (non-disclosure agreement) Geheimhaltungsvertrag
-
secondsun schrieb:
Was ist ein NDA? Und danke für das Beispiel. Ich werde mich da mal durchhangeln und schauen, ob ich da was finde. Ich ich bezweifel es doch. Wenn da schon jemand deinen Vertrag eingeht, dann kann es ja nicht gerade im Sinne von Microsoft sein, wenn eine OpenSource Community wieder alles rauspustet.
Ich habe z.B. Zugriff auf den Microsoft Source-Code. Das geht aber natürlich nur, wenn Du zuvor ein (komplexes) NDA unterschrieben hast...
Also, falls Du was spezielles Wissen willst, kann ich mal nachschauen... den Code darf ich Dir aber natürlich nicht posten
aber wenn es Dir bei einem bestimmten Problem hilft, darf ich Dir zumindest verbal helfen... (oder muss ich doch vorher meinen Anwalt fragen?)
-
Du hast Zuriff auf den Source Code??? Ich kann dir meine Mail Adresse zukommen lassen. Dafür lässt du mir den aktuellen Source der ntoskrnl.exe zukommen:-)
Also eigentlich möchte nichts nichts nachprogrammieren usw. Es hatte mich einfach nur mal so interessiert, wie das die Software Hersteller von heute so machen;-)
Also kannst du bestätigen, dass es dafür eine nicht offene API gibt die genutzt wird? Vielleicht kannst du mir ja mal verraten, wo ich anfangen müsste mit IDA zu suchen:-)
-
secondsun schrieb:
@_lowbyte:
Was kann man damit erreichen? Die SSDT umbiegen? Also ich bezweifel dass das funktionieren wird. Der PatchGuard checkt alle paar Minuten(oder Sekunden? Auf jeden Fall in einem bestimmten Intervall) ob sich was geändert hat und lässt, wenn etwas nicht stimmt, alles mit einem Bluescreen abrauchen. Ich glaube aber nicht, dass das der Weisheit letzter Schluss ist, die SSDT zu manipulieren. Jedenfalls nicht für ein kommerzielles Produkt.@Martin Richter:
Was ist ein NDA? Und danke für das Beispiel. Ich werde mich da mal durchhangeln und schauen, ob ich da was finde. Ich ich bezweifel es doch. Wenn da schon jemand deinen Vertrag eingeht, dann kann es ja nicht gerade im Sinne von Microsoft sein, wenn eine OpenSource Community wieder alles rauspustet. Aber ich werde es mir mal ansehen;-)Auf diese weise lässt sich der Patchguard umgehen und dann all denn rest!
Dies ist aber komplex!
-
Tobita schrieb:
Du hast Zuriff auf den Source Code??? Ich kann dir meine Mail Adresse zukommen lassen. Dafür lässt du mir den aktuellen Source der ntoskrnl.exe zukommen:-)
Also ich hab ja auch eine sogenannte "Email Adresse" ich geb euch meine Email Adresse wenn ihr mir 10.000 € auf mein Konto überweist.
Tobita schrieb:
Also kannst du bestätigen, dass es dafür eine nicht offene API gibt die genutzt wird? Vielleicht kannst du mir ja mal verraten, wo ich anfangen müsste mit IDA zu suchen:-)
Also ich würde mal sagen du suchst am besten vom Anfang aus an. 
-
frag doch mal in ein paar hacker bzw. kiddyforen
-
sttd schrieb:
frag doch mal in ein paar hacker bzw. kiddyforen
Hacker != kiddyforen
Hier mal ei wirklich gutes Tut.
unknowncheats.me/forum/c-and-c/59147-writing-drivers-perform-kernel-level-ssdt-hooking.htmlWenn es erwünscht ist kann ich gerne source-code von mir vorlegen!
Ist halt schn sehr viel Hintergrundwissen nötig um soetwas zu realisieren, und man sollte schon das gewisse etwas für solche Sachen haben. Ist definitiv nicht für jeden Trottel.
@Martin
Dies zeigt mir wieviel Du wirklich von Windows verstehst...
-
-lowbyte- schrieb:
@Martin
Dies zeigt mir wieviel Du wirklich von Windows verstehst...Kannst Du mit das erklären? Habe ich was falsches gesagt?
Ich habe mich nie für einen Treiber oder absoluten OS Guru gehalten oder gar dafür ausgegeben.
Meine Welt ist der Usermode Punkt.
