Título: duda SSDT Publicado por: newone en 3 Septiembre 2007, 02:43 am System Service Descriptor Table
Tabla utilizada por Windows para dirigir llamadas del sistema hacia un tratamiento conveniente : tabla de encaminamiento de los APIs. El "enganchamiento" de la tabla del descriptor de servicio del sistema (SSDT) con vista a su modificación es otra técnica frecuentemente utilizada. Al modificar esta tabla, el rootkit puede reorientar la ejecución hacia su código en vez de hacerlo hacia el módulo original del sistema. ver http://es.wikipedia.org/wiki/RkUnhooker Hablando de una forma amigable, la SSDT (System Service Descriptor Table) es el lugar en el que el sistema almacena punteros a las funciones principales del sistema. Algunos rootkits de modo kernel usualmente utilizan la siguiente técnica – remplazan la dirección actual de la función en la tabla de direcciones (SSDT) con una función-manejadora propia. Algunos programas comerciales también utilizan esta técnica, por ejemplo Panda Antivirus interviene la función NtTerminateProcess para prevenir que los programas del antivirus sean terminados. El firewall Agnitum Outpost hace lo mismo, además interviniendo (hooking) NtWriteVirtualMemory, para proteger a los usuarios de técnicas de Malware conocidas como inyección de código. Programas de emulación de CD como Alcohol y Daemon Tools intervienen funciones relacionadas con el registro para engañar a los DRM’s (Digital Right Managers o Administrador de Derechos Digitales). RKU puede mostrar el estado de la SSDT, mostrando que funciones (también llamadas servicios en terminología de MS) están redireccionandas y además da la posibilidad restaurar su direccion original. ------------------------------------------------------------------- .................................................................................... la duda que tengo es sobre el hooking a esta tabla si me pueden aclarar alguno que lo sepa :xD Título: Re: duda SSDT Publicado por: Thaorius en 3 Septiembre 2007, 05:58 am Mirate este codigo:
http://downloads.thaorius.com/other/ale32rk.rar Hay un post mio reciente relacionado en programacion general o c/c++, buscalo con el buscador del foro. Hace justamente eso para ocultar procesos. Saludos Título: Re: duda SSDT Publicado por: newone en 5 Septiembre 2007, 04:15 am ahh muy interesante cuando lo entienda mejor y lo mire mejor te ahre algunas preguntas, igual si me quieres contar algo :P
|