link もっと前
   2007年 2月 13日 -
      2007年 2月 13日  
link もっと後

link 未来から過去へ表示(*)
link 過去から未来へ表示

日々

link permalink

送別会

今年でつくばを離れてしまう阿部さんのための、送別会が開かれました。修論、卒論生のみなさん、発表お疲れ様でした。という労いの会も兼ねています。

場所は灯禾軒でした。飲み会にありがちな、ご飯が大量に余る状況にはなりませんでした。料理が少なかったのか、単にみんなおなかが空いていただけかな。最近の OS 研では M1 の人々の就職/進学の話しで持ちきりです。さて、来年どうなっているやら?
2次会は横にあるじんぱちでした。酒を飲まなかったせいか、かなり安かったです。

3次会というか既に 3人しかいなかったんですが、STEP で卓球とカラオケをしました。

ドライバ

某プロテクトを殺せないかと思って、変なドライバを書いてみました。結果を先に言うと、うまくいきませんでした。

某の動きを観察してみると、SSDT を書き換えているようです。具体的には、NtDeviceIoControlFile, NtOpenProcess, NtProtectVirtualMemory, NtReadVirtualMemory, NtWriteVirtualMemory の 5つ(2/14 NtWriteVirtualMemory を追記)にフックを入れています(Windows2000 の場合)。このやり口はもはや rootkit 以外の何者でもないですね。

まずは単純に、正しい SSDT を記録しておいて、書き換えられた後に元の値に戻してやりました。ところが強制リセットがかかってしまい、駄目でした。

次にプロテクトが使っているフックルーチンの先頭を無条件 near jmp に書き換えて、正しい位置に飛ぶように書き換えたのですが、Windows がハングアップしてしまって、うまくいきません。

何か間違ってるのでしょうけど、いまいちわかりません。難しいですね…。

[編集者: すずき]
[更新: 2007年 2月 14日 19:44]
link 編集する

コメント一覧

  • kawasaki 
    Windows Vista ではSSDTの書き換えは出来ないという話を聞いたのですが、どうなってるんでしょうね。 
    (2007年02月14日 11:11:34)
  • すずき 
    SSDT が載ってるページだけ、書き込みしたら例外が飛ぶようにするとか…?できるのかな。
    できたとしても解除できそうだなあ…。 
    (2007年02月14日 17:10:07)
open/close この記事にコメントする



link もっと前
   2007年 2月 13日 -
      2007年 2月 13日  
link もっと後

管理用メニュー

link 記事を新規作成

合計:  counter total
本日:  counter today

link About www.katsuster.net
RDF ファイル RSS 1.0
QR コード QR コード

最終更新: 2/21 00:46

カレンダー

<2007>
<<<02>>>
----123
45678910
11121314151617
18192021222324
25262728---

最近のコメント 5件

  • link 18年12月11日
    すずき 「確認いただいてありがとうございます。直っ...」
    (更新:12/27 00:22)
  • link 18年12月11日
    T4 「再現しませんね\n\n確かに、過去にそう...」
    (更新:12/25 12:45)
  • link 18年12月11日
    すずき 「失礼しました。Rock64 の方は、\n...」
    (更新:12/22 02:10)
  • link 18年12月11日
    T4 「私は、Tinker Board を持って...」
    (更新:12/21 10:14)
  • link 18年12月11日
    すずき 「> 但し、これもう一年以上前の話で...」
    (更新:12/19 11:54)

最近の記事 3件

link もっとみる
  • link 19年02月19日
    すずき 「[RISC-V のコンパイラ] Crosstool-NG は RI...」
    (更新:02/21 00:46)
  • link 19年02月18日
    すずき 「[RockPro64 のシリアル出力] RockPro64 のシリ...」
    (更新:02/21 00:43)
  • link 19年02月20日
    すずき 「[RockPro64 の HDMI Audio] RK3399 の...」
    (更新:02/21 00:33)

こんてんつ

open/close wiki
open/close Java API

過去の日記

open/close 2002年
open/close 2003年
open/close 2004年
open/close 2005年
open/close 2006年
open/close 2007年
open/close 2008年
open/close 2009年
open/close 2010年
open/close 2011年
open/close 2012年
open/close 2013年
open/close 2014年
open/close 2015年
open/close 2016年
open/close 2017年
open/close 2018年
open/close 2019年
open/close 過去日記について

その他の情報

open/close アクセス統計
open/close サーバ一覧
open/close サイトの情報