Entwickler-Ecke

Windows API - SSDT UnHooker für Win7


Flamefire - Sa 28.08.10 14:15
Titel: SSDT UnHooker für Win7
Ich hatte unter XP ein Programm, dass nach Rootkits gesucht hat, indem es die SSDT analysiert. Dabei konnte es die originalen Einträge auch wiederherstellen.
Das funktionierte nur unter Win7x64 nicht (Vermutlich wegen dem neuen treibermodell)

Jetzt habe ich wieder ein Programm, dass mir verschiedene Aufrufe verweigert. Z.b. Writeprocessmemory (trotz korrekten OpenProcess etc)
Ich tippe also, dass es wieder eine Rootkit-Technik ist.

Gibt es also einen Unhooker für Win7x64?
Oder zumindest etwas, womit ich die SSDT anzeigen lassen kann?


Moderiert von user profile iconNarses: Topic aus Off Topic verschoben am So 29.08.2010 um 12:53


Gerd Kayser - Sa 28.08.10 20:59
user profile iconFlamefire hat folgendes geschrieben Zum zitierten Posting springen:
Oder zumindest etwas, womit ich die SSDT anzeigen lassen kann?

Versuchs mal damit: http://www.woodmann.com/collaborative/tools/index.php/Kernel_Detective
Und noch was zum Lesen: http://www.securabit.com/wp-content/uploads/2010/03/Rootkit-Analysis-Hiding-SSDT-Hooks1.pdf


Flamefire - So 29.08.10 11:56
das zum Lesen ist bekannt.
Hab vor ner Weile selbst mal ein bisschen mit dem Kernel rumgespielt, Hooks erkannt und behoben. inkl Treiber. Z.T. aber auch aus dem Usermode raus (uAllRing0-Unit)

Die neue Version von KernelDetective ist auch gut. Ein Schritt in der Entwicklung. Läuft nur leider nicht auf 64Bit (Treiber kann nicht geladen werden)
Aber sowas ist, was ich suche. Ein besseres Tool zur Analyse gibts nicht.


Entwickler-Ecke.de based on phpBB
Copyright 2002 - 2011 by Tino Teuber, Copyright 2011 - 2025 by Christian Stelzmann Alle Rechte vorbehalten.
Alle Beiträge stammen von dritten Personen und dürfen geltendes Recht nicht verletzen.
Entwickler-Ecke und die zugehörigen Webseiten distanzieren sich ausdrücklich von Fremdinhalten jeglicher Art!