API von Reg.exe

Zitat von richard_boderich:

@Olli

Die Frage ist, was macht man, wenn das Rootkit via SSDT alle ZW Key Funktionen hookt. Dann kommt man doch um einen Driver gar nicht herum und dann ist doch auch die Frage welcher zuerst geladen wird? Der von der Malware oder der Eigene.
Außerdem müsste es doch auch Maßnahmen gegen DLL Injection geben oder etwa nicht?

Syscalls passieren ueblicherweise nur aus dem Usermode heraus. Solange kein Hotpatching innerhalb der eigentlichen Funktion sondern nur in der SSDT stattfinden ist es nicht allzu kritisch. Allerdings koennte ein neu geladener Treiber sofort gepatcht werden. Das waere aber aeusserst komplex.

Zitat von richard_boderich:

Kann man sich dieses Hooktutorial irgendwo runterladen?

Hook tutorial Assarbad

Zitat von richard_boderich:

Wie wäre es denn die Registry binär zu Öffnen und die Funktionen um auf Keys zu zugreifen selbst zu implementieren?

Schwer, weil die Hives normalerweise exklusiv geoeffnet werden. Wie man vom RootkitRevealer weiss, geht es - aber's ist schwer.

API von Reg.exe

Re: API von Reg.exe

Forumregeln