link もっと前
   2007年 2月 13日 -
      2007年 2月 13日  
link もっと後

link 未来から過去へ表示(*)
link 過去から未来へ表示

日々

link permalink

送別会

今年でつくばを離れてしまう阿部さんのための、送別会が開かれました。修論、卒論生のみなさん、発表お疲れ様でした。という労いの会も兼ねています。

場所は灯禾軒でした。飲み会にありがちな、ご飯が大量に余る状況にはなりませんでした。料理が少なかったのか、単にみんなおなかが空いていただけかな。最近の OS 研では M1 の人々の就職/進学の話しで持ちきりです。さて、来年どうなっているやら?
2次会は横にあるじんぱちでした。酒を飲まなかったせいか、かなり安かったです。

3次会というか既に 3人しかいなかったんですが、STEP で卓球とカラオケをしました。

ドライバ

某プロテクトを殺せないかと思って、変なドライバを書いてみました。結果を先に言うと、うまくいきませんでした。

某の動きを観察してみると、SSDT を書き換えているようです。具体的には、NtDeviceIoControlFile, NtOpenProcess, NtProtectVirtualMemory, NtReadVirtualMemory, NtWriteVirtualMemory の 5つ(2/14 NtWriteVirtualMemory を追記)にフックを入れています(Windows2000 の場合)。このやり口はもはや rootkit 以外の何者でもないですね。

まずは単純に、正しい SSDT を記録しておいて、書き換えられた後に元の値に戻してやりました。ところが強制リセットがかかってしまい、駄目でした。

次にプロテクトが使っているフックルーチンの先頭を無条件 near jmp に書き換えて、正しい位置に飛ぶように書き換えたのですが、Windows がハングアップしてしまって、うまくいきません。

何か間違ってるのでしょうけど、いまいちわかりません。難しいですね…。

[編集者: すずき]
[更新: 2007年 2月 14日 19:44]
link 編集する

コメント一覧

  • kawasaki 
    Windows Vista ではSSDTの書き換えは出来ないという話を聞いたのですが、どうなってるんでしょうね。 
    (2007年02月14日 11:11:34)
  • すずき 
    SSDT が載ってるページだけ、書き込みしたら例外が飛ぶようにするとか…?できるのかな。
    できたとしても解除できそうだなあ…。 
    (2007年02月14日 17:10:07)
open/close この記事にコメントする



link もっと前
   2007年 2月 13日 -
      2007年 2月 13日  
link もっと後

管理用メニュー

link 記事を新規作成

合計:  counter total
本日:  counter today

link About www.katsuster.net
RDF ファイル RSS 1.0
QR コード QR コード

最終更新: 12/12 02:09

カレンダー

<2007>
<<<02>>>
----123
45678910
11121314151617
18192021222324
25262728---

最近のコメント 5件

  • link 18年11月28日
    すずき 「Linux に contribute す...」
    (更新:12/10 12:33)
  • link 18年11月28日
    T4 「やっぱり貴方でしたか、ご苦労さまでした。...」
    (更新:12/05 09:20)
  • link 18年11月28日
    すずき 「RK3228 じゃなくて RK3288 ...」
    (更新:12/05 02:19)
  • link 18年11月28日
    すずき 「ありがとうございます。Linux のコミ...」
    (更新:12/05 02:04)
  • link 18年12月01日
    すずき 「私も最初、HDD, SSD は使いまわそ...」
    (更新:12/04 12:49)

最近の記事 3件

link もっとみる
  • link 18年12月09日
    すずき 「[最初に触った PC] 私は、比較的 PC と出会った時期は遅い(...」
    (更新:12/12 02:09)
  • link 18年12月05日
    すずき 「[PC の進歩] Ryzen 7 は 8コア 16スレッド CPU...」
    (更新:12/12 01:54)
  • link 18年12月04日
    すずき 「[突然動かなくなる linux-next] いつものように lin...」
    (更新:12/12 01:51)

こんてんつ

open/close wiki
open/close Java API

過去の日記

open/close 2002年
open/close 2003年
open/close 2004年
open/close 2005年
open/close 2006年
open/close 2007年
open/close 2008年
open/close 2009年
open/close 2010年
open/close 2011年
open/close 2012年
open/close 2013年
open/close 2014年
open/close 2015年
open/close 2016年
open/close 2017年
open/close 2018年
open/close 過去日記について

その他の情報

open/close アクセス統計
open/close サーバ一覧
open/close サイトの情報