kisoo

본 프로그램은 시스템에 숨겨진 루트킷을 탐지하고 제거할 수 있는 프로그램이며 대부분이 프리웨어입니다. 아래 프로그램중에 'AVG Anti-Rootkit' 과 'F-Secure BlackLight' 프로그램을 주로 사용을 하며 'HiJack This' 을 통해서 레지스터리 정보를 보는데 유용할 것입니다. 각각 기능에 대해서는 검색을 통해서 찾아 보시면 유용 하실 것입니다. AVG Anti-Rootkit V1.1.0.42 http://free.grisoft.com/doc/5390/lng/us/tpl/v5#avg-anti-rootkit-free http://free.grisoft.com/softw/70free/setup/avgarkt-setup-1.1.0.42.exe F-Secure BlackLight V2...

http://msdn.microsoft.com/en-us/library/windows/hardware/ff541778(v=vs.85).aspxNTSTATUS FltRegisterFilter( __in PDRIVER_OBJECT Driver, __in const FLT_REGISTRATION *Registration, __out PFLT_FILTER *RetFilter );** Filter Manager에게 등록요청을 하는 API. Mini Filter를 만들기 위해서 가장먼저 꼭 해야하는 함수. http://msdn.microsoft.com/en-us/library/windows/hardware/ff547804(v=vs.85).aspxNTSTATUS FltBuildDefaultSecurityDescrip..

기존 WINDOW 32비트 플랫폼에서의 regmon은 KeServiceDescriptorTable에 등록되어있는 NativeAPI 중 레지스트리 관련 API들을 Hooking하는 드라이버를 제작하여 regmon 을 구현 하였다. 하지만 64비트 플랫폼에서는 더이상 커널 후킹이 불가능(Kernel Patch Protection때문)하고 기존의 KeServiceDescriptorTable과 같이 후킹하기 편한 형태로 SystemCall을 구현하고 있지 않기 때문에 더이상 기존의 방식을 사용할수가 없게 되었다. regmon for x64 버전을 살펴보았더니 MS에서 이미 이런 문제를 위해 XP이상 부터 동작 가능한 Registry Callback 기능을 추가하였다. 참고 URL : http://www.code..

Filesystem miniFilter를 처음 개발할 때 nullFilter, passthrough, scanner 등을 먼저보시면 도움이 될 것 같습니다. 그리고 나머지 샘플에 대해 간략한 설명을 달아놓았으니 필요한 부분만 발췌하여 분석하시면 시간절약에 도움이 되실듯합니다. \WINDDK\6000\src\filesys\miniFilter\cancelsafe miniFilter에서는 I/O 취소처리를 어떻게 처리하는지를 보여줍니다. \WINDDK\6000\src\filesys\miniFilter\cdo miniFilter에서 App과 DeviceIoControl통신을 하기 위해 어떻게 구현되는지 보여줍니다. \WINDDK\6000\src\filesys\miniFilter\ctx miniFilter에서는 ..

[펌] http://john6.springnote.com/pages/3329381 실습 보고서 pipelining과 multi-processing(multi-threading)과는 혼란을 일으키지 않도록 하자. 무서울 정도로 했던 말을 그대로 옮긴다. (녹음 당하는 느낌) Re-entrant & Threads 이제 뜬 구름은 그만 잡자. 코드 봅시다. 찾아서 공부하는 시간이 시작되었습니다. Filter Manager Model 일단 큰 그림을 볼 수 있는 페이지 (마이크로소프트) http://www.microsoft.com/whdc/driver/filterdrv/default.mspx anti-virus filters, backup agents, encryption products 등을 작성할 때 파일 ..

SCANNER (MiniFilter) DriverEntry 모든 DriverEntry는 이와 비슷한 작업을 한다. FltRegisterFilter() FltCreateCommunicationPort() FltBuildDefaultSecurityDescriptor() : 관리자만이 접근 가능하도록 InitializeObjectAttributes() : OBJ_KERNEL_HANDLE을 통해 커널 핸들임을 알려야 한다. FltStartFiltering() FltCloseCommunicationPort() FltUnregisterFilter() Structure FLT_OPERATION_REGISTRATION Scanner에서는 IRP_MJ_CREATE (Pre, Post) IRP_MJ_CLEANUP (Pre..

프로세스의 시작과 종료 시점을 알려주는 함수로 PsSetCreateProcessNotifyRoutine() 이 있다. 다음과 같이 설정하면 프로세스 시작/종료 시에 CreateProcessNotifyRoutine() 이 호출된다. PsSetCreateProcessNotifyRoutine( CreateProcessNotifyRoutine, FALSE ); 콜백함수는 아래와 같은 프로토타입을 가지는데.... VOID CreateProcessNotifyRoutine( IN HANDLE ParentId, IN HANDLE ProcessId, IN BOOLEAN Create ) { ... } 이 함수가 호출되었을 때 프로세스 컨텍스트가 MSDN 에 잘 나와 있지 않다. 궁금해서 확인해 보니 Create == TR..

http://msdn.microsoft.com/en-us/library/ms682396(v=vs.85).aspx The name can have a "Global\" or "Local\" prefix to explicitly create the object in the global or session name space. The remainder of the name can contain any character except the backslash character (\). For more information, see Kernel Object Namespaces. Fast user switching is implemented using Terminal Services sessions. Kernel o..

보호되어 있는 글입니다.

만약 catchy32.asm 이 어셈블리로 된 모듈이라면, 해당 아키텍쳐에 맞게끔 지정해줄 수 있었다. 즉, SOURCES와 별도로 어셈블리소스는 'I386_SOURCES=' 항목란에 어셈블리소스경로를 지정해주면 되는 것이다. 마찬가지로 IA64는 'IA64_SOURCES=' 을 이용하며 되겠다. 왜그런지 몰라도, 저 catchy32.asm 은 i386폴더안에 있어야만 되더라.. TARGETNAME=xxxxxxx TARGETPATH=obj TARGETTYPE=DRIVER TARGETLIBS=$(DDK_LIB_PATH)\ntstrsafe.lib SOURCES=pullout.c \ xxxxx2.c search.c \ hidecmd.c I386_SOURCES=i386\catchy32.asm 참고: http:/..