コグノスケ


link 未来から過去へ表示(*)  link 過去から未来へ表示

link もっと前
2007年2月13日 >>> 2007年2月13日
link もっと後

2007年2月13日

送別会

今年でつくばを離れてしまう阿部さんのための、送別会が開かれました。修論、卒論生のみなさん、発表お疲れ様でした。という労いの会も兼ねています。

場所は灯禾軒でした。飲み会にありがちな、ご飯が大量に余る状況にはなりませんでした。料理が少なかったのか、単にみんなおなかが空いていただけかな。最近のOS研ではM1の人々の就職/進学の話しで持ちきりです。さて、来年どうなっているやら?
2次会は横にあるじんぱちでした。酒を飲まなかったせいか、かなり安かったです。

3次会というか既に3人しかいなかったんですが、STEPで卓球とカラオケをしました。

ドライバ

某プロテクトを殺せないかと思って、変なドライバを書いてみました。結果を先に言うと、うまくいきませんでした。

某の動きを観察してみると、SSDTを書き換えているようです。具体的には、NtDeviceIoControlFile, NtOpenProcess, NtProtectVirtualMemory, NtReadVirtualMemory, NtWriteVirtualMemoryの5つ(2/14 NtWriteVirtualMemoryを追記)にフックを入れています(Windows2000の場合)。このやり口はもはやrootkit以外の何者でもないですね。

まずは単純に、正しいSSDTを記録しておいて、書き換えられた後に元の値に戻してやりました。ところが強制リセットがかかってしまい、駄目でした。

次にプロテクトが使っているフックルーチンの先頭を無条件near jmpに書き換えて、正しい位置に飛ぶように書き換えたのですが、Windowsがハングアップしてしまって、うまくいきません。

何か間違ってるのでしょうけど、いまいちわかりません。難しいですね…。

編集者:すずき(2007/02/14 19:44)

コメント一覧

  • kawasakiさん(2007/02/14 11:11)
    Windows Vista ではSSDTの書き換えは出来ないという話を聞いたのですが、どうなってるんでしょうね。
  • すずきさん(2007/02/14 17:10)
    SSDT が載ってるページだけ、書き込みしたら例外が飛ぶようにするとか…?できるのかな。
    できたとしても解除できそうだなあ…。
open/close この記事にコメントする



link もっと前
2007年2月13日 >>> 2007年2月13日
link もっと後

管理用メニュー

link 記事を新規作成

<2007>
<<<02>>>
----123
45678910
11121314151617
18192021222324
25262728---

最近のコメント20件

  • link 21年3月13日
    すずきさん (03/05 15:13)
    「あー、このプログラムがまずいんですね。ご...」
  • link 21年3月13日
    emkさん (03/05 12:44)
    「キャストでvolatileを外してアクセ...」
  • link 24年1月24日
    すずきさん (02/19 18:37)
    「簡単にできる方法はPowerShellの...」
  • link 24年1月24日
    KKKさん (02/19 02:30)
    「追伸です。\nネットで調べたらマイクロソ...」
  • link 24年1月24日
    KKKさん (02/19 02:25)
    「私もエラーで困ってます\n手動での回復パ...」
  • link 24年1月24日
    すずきさん (02/13 11:48)
    「ありがとうございます。\n私のPCはもう...」
  • link 24年1月24日
    えはらさん (02/12 15:00)
    「Powershellのスクリプトは以下の...」
  • link 24年2月2日
    すずきさん (02/02 18:17)
    「サーバー側の設定はとても簡単でした。ちょ...」
  • link 24年2月2日
    hdkさん (02/02 08:54)
    「さくらのレンタルサーバの設定でLet's...」
  • link 24年1月24日
    すずきさん (01/28 11:35)
    「ご指摘ありがとうございます。確かに間違っ...」
  • link 24年1月24日
    通りすがりさん (01/27 14:05)
    「Powershellで解決しなかったのは...」
  • link 23年11月29日
    すずきさん (12/04 00:38)
    「あ、そうか。1nsですね。ありがとうござ...」
  • link 23年11月29日
    hdkさん (12/03 18:49)
    「>(本来1usなのに1msになって...」
  • link 23年11月29日
    すずきさん (12/03 00:35)
    「大山先生、お久しぶりです。コメントありが...」
  • link 23年11月29日
    大山恵弘さん (12/02 18:53)
    「すずきさんのX(旧Twitter)へのポ...」
  • link 20年7月12日
    すずきさん (10/19 11:17)
    「ご指摘ありがとうございます。9月の編集は...」
  • link 20年7月12日
    通り縋りさん (10/18 19:08)
    「上の記事2023年9月編集という事ですが...」
  • link 23年9月22日
    すずきさん (09/23 21:14)
    「そうなんですよ。賢いなーと思って自分でも...」
  • link 23年9月22日
    hdkさん (09/23 14:56)
    「+1だから、繰り上がる時は必ず下のほうに...」
  • link 23年9月2日
    すずきさん (09/06 18:21)
    「dアカウント自体はMNPと関係なく存在す...」

最近の記事3件

  • link 24年3月25日
    すずき (03/26 03:20)
    「[Might and Magic Book One TASのその後] 目次: Might and Magicファミコン版以前(...」
  • link 21年10月4日
    すずき (03/26 03:14)
    「[Might and Magicファミコン版 - まとめリンク] 目次: Might and Magicファミコン版TASに挑...」
  • link 24年3月19日
    すずき (03/20 02:52)
    「[モジュラージャックの規格] 古くは電話線で、今だとEthernetで良く見かけるモジュラージャックというコネクタとレセプタク...」
link もっとみる

こんてんつ

open/close wiki
open/close Linux JM
open/close Java API

過去の日記

open/close 2002年
open/close 2003年
open/close 2004年
open/close 2005年
open/close 2006年
open/close 2007年
open/close 2008年
open/close 2009年
open/close 2010年
open/close 2011年
open/close 2012年
open/close 2013年
open/close 2014年
open/close 2015年
open/close 2016年
open/close 2017年
open/close 2018年
open/close 2019年
open/close 2020年
open/close 2021年
open/close 2022年
open/close 2023年
open/close 2024年
open/close 過去日記について

その他の情報

open/close アクセス統計
open/close サーバ一覧
open/close サイトの情報

合計:  counter total
本日:  counter today

link About www.katsuster.net
RDFファイル RSS 1.0

最終更新: 03/26 03:20