Альтернатива перехвата SSDT в системах x64

Я немного почитал и обнаружил, что перехватчики SSDT с использованием драйверов в системах Windows 7 x64 сложнее, намеренно из-за Patch Guard/подписи драйверов, в то время как в системах x32 этого не происходит.

Итак, есть ли другая альтернатива для систем x64? Я имею в виду, есть ли другой способ, которым я мог бы добиться того же результата? (глобальный хук ntdll API)


windows kernel hook 64-bit low-level
person Leandro Battochio    schedule 22.07.2012    source источник
comment
Вся смысл отключения SSDT в x64 заключалась в том, чтобы люди не могли устанавливать глобальные перехватчики.   -  person Harry Johnston    schedule 23.07.2012
comment
Итак, @Harry, вы говорите, что невозможно установить глобальные хуки в системах x64? Я имею в виду, не заставляя пользователя отключать PG.   -  person Leandro Battochio    schedule 23.07.2012
comment
Технически нет, это не невозможно — авторы вредоносных программ придумали различные способы сделать это. Но идти по этому пути было бы очень плохой идеей: en.wikipedia.org/wiki/Sony_rootkit   -  person Harry Johnston    schedule 24.07.2012
comment
@HarryJohnston, не могли бы вы рассказать больше об этой теме? способы сделать это, например?   -  person Leandro Battochio    schedule 24.07.2012

Ответы (2)


arrow_upward
1
arrow_downward

Вы можете реализовать хуки пользовательского режима, используя Внедрение DLL, так как он работает как на x86, так и на x64. Если вы хотите сделать хук глобальным, вам нужно будет внедрить DLL в каждый процесс, включая вновь созданные.

person Keagan Ladds    schedule 12.11.2012

arrow_upward
0
arrow_downward

SSDT не разрешен в x64. Драйвер файловой системы или мини-фильтра — это способ изменить любое поведение системы по умолчанию. Чего вы хотите достичь?

person Rohan    schedule 22.07.2012
comment
Я хочу подключить NtOpenProcess на таком уровне, чтобы он работал для каждого приложения, работающего на моем ПК. - person Leandro Battochio; 22.07.2012
comment
Отключите PG и используйте перехватчик SSDT. :) - person Xearinox; 22.07.2012
comment
Не очень хорошо для обычных пользователей. Я не хотел заставлять их устанавливать какие-либо другие материалы - person Leandro Battochio; 22.07.2012
comment
Если ваша целевая аудитория понимает проблемы, связанные с установкой глобальных хуков, и предполагает, что ваше приложение достаточно ценно для них, они не будут возражать против отключения PG, чтобы использовать его. Если они не понимают проблемы, то они не могут дать информированное согласие, и с вашей стороны было бы неэтично устанавливать глобальную ловушку в их системе, даже если вы нашли способ сделать это. так. - person Harry Johnston; 23.07.2012
comment
Это античитерская программа, они не должны знать, как она работает, но я не могу заставить их отключить PG, так как она для продвинутых пользователей, а аудитория моего ехе - обычные пользователи, понимаете? Вероятно, большинство из них не знали бы, как его отключить. - person Leandro Battochio; 23.07.2012