Muchas gracias eternal, es que no tenia el Pc para probarlo (no estoy en casa)

Bua, en el Windbg se tiene que hacer por conexion de PC's, no??? eso es lo que no me gusta :S

Bueno, muchas gracias 

Machas gracias tio, sobretodo por el tiempo que empleas explicandome esto, lo que e entendido, sila funcion no empieza por 80 es que esta hookeado,no?? Y otra cosa, como "dumpeas" esto??? que programa usas para hacerlo??

Muchas gracias

Asi de simple nos cepillariamos el hookeo a la zwopenprocess???

TEndre que ponerme a leer bastante sobre hooking en kernel land, ya que me es bastante complicado, este cambio de "land" es bastante grande 

Me recomiendas algo en español??? (Se que hay poca cosa :S)

Si no me tender que conformar con los tochos que hay por hay "in english"...

Intentare hacer practicas con el Driver del Kav 

Mek, para finalizar el driver del Kav tengo que usar el IoDeleteDevice, no es asi??? Pero en este caso necesitaria el DeviceObject del Kav, como lo saco???

Eso de haber tantisimas apis y no saber trabajar con casi ninguna me da rabia  no hay mas remedio que trabajar con ellas y aprender 

Video dedicado a los guardia civiles, los seres mas inteligentes de la tierra (notese la ironia  )



Aun me rio...

Ya le voy pillando el tranquillo a esto...xDDD

Para quien quiera mas info, recomiendo esta web: http://www.osronline.com Tiene una DDK donde dan especificaciones de cada API.

Por cierto Mek, hice esto y me funciono:

import ntoskrnl,DbgPrint,'DbgPrint',\
                IoGetCurrentProcess,'IoGetCurrentProcess'

A decir verdad funcióno de suerte, ya que no sabia que IoGetCurrentProcess estubiese en ntoskrnl, mi pregunta es: estan todas hay??? Ya que buse y busque y en todas las paginas (la de microsoft y la de osronline) solo dicen los headers que tienen que llevar, no las "librerias" en donde se encuentran...

Advertencia - mientras estabas escribiendo, una nueva respuesta fue publicada. Probablemente desees revisar tu mensaje.

Bueno Mad, para gustos colores....la verdad es que con C se pueden hacer cosas como estas, y con ASM igual....Yo programo en C las menores veces posibles, si puedo lo hago o con ASM o en C#... si no me queda mas remedio pues lo hago con C....por cierto, si quieres un buen lenguaje mirate el C#, segurisimo que te gusta,s ino pideselo a E0N 

Bien! ahora si...xDDD ahora ya puedo empezar a programar....Ahora a buscar las apis correspondientes y a ver que sale.

Por cierto, sabes mas paginas tipo:

http://undocumented.ntinternals.net/
http://jedi-apilib.sourceforge.net/native/NativeList.html

Para apis en modo Kernel???

Un Saludo 

An final lo encontre, pero gracias de todos modos....una cosa, para deprar el driver me baje el Windbg, pero me dice que para depurarlo tienes que estar en otro PC y conectarse a ese PC para depurarlo, no hay otro modo???

Muchas gracais 

Exacto, es como a dicho...en realidad no es que sea muy dificil imlpementar un "Esteganografiador" en VB o en cualquier otro lenguage