Ich hatte unter XP ein Programm, dass nach Rootkits gesucht hat, indem es die SSDT analysiert. Dabei konnte es die originalen Einträge auch wiederherstellen.
Das funktionierte nur unter Win7x64 nicht (Vermutlich wegen dem neuen treibermodell)

Jetzt habe ich wieder ein Programm, dass mir verschiedene Aufrufe verweigert. Z.b. Writeprocessmemory (trotz korrekten OpenProcess etc)
Ich tippe also, dass es wieder eine Rootkit-Technik ist.

Gibt es also einen Unhooker für Win7x64?
Oder zumindest etwas, womit ich die SSDT anzeigen lassen kann?


Moderiert von Narses: Topic aus Off Topic verschoben am So 29.08.2010 um 12:53

Flamefire hat folgendes geschrieben :

Oder zumindest etwas, womit ich die SSDT anzeigen lassen kann?

Versuchs mal damit: www.woodmann.com/col...php/Kernel_Detective
Und noch was zum Lesen: www.securabit.com/wp...ding-SSDT-Hooks1.pdf

das zum Lesen ist bekannt.
Hab vor ner Weile selbst mal ein bisschen mit dem Kernel rumgespielt, Hooks erkannt und behoben. inkl Treiber. Z.T. aber auch aus dem Usermode raus (uAllRing0-Unit)

Die neue Version von KernelDetective ist auch gut. Ein Schritt in der Entwicklung. Läuft nur leider nicht auf 64Bit (Treiber kann nicht geladen werden)
Aber sowas ist, was ich suche. Ein besseres Tool zur Analyse gibts nicht.