Sind ja auch einige mit ASM Kenntnissen - bevor ich mich bei OSR wieder anmelde, frage ich mal hier nach :lupe::
1.) Ich benötige den Aufbau einer DEVICE_OBJECT Struktur (NT basierte Systeme) kann mir da jemand weiterhelfen?
2.) Hat sich bei der _LDR_DATA_TABLE_ENTRY Struktur und der DRIVER_OBJECT Struktur unter Vista was geändert?
Systemstrukturen unter Vista
-
-
-
DEVICE_OBJECT habe ich schon mal, sieht gut aus:
Code
Alles anzeigentypedef struct _DEVICE_OBJECT { CSHORT Type; USHORT Size; LONG ReferenceCount; PDRIVER_OBJECT DriverObject; PDEVICE_OBJECT NextDevice; PDEVICE_OBJECT AttachedDevice; PIRP CurrentIrp; PIO_TIMER Timer; ULONG Flags; ULONG Characteristics; __volatile PVPB Vpb; PVOID DeviceExtension; DEVICE_TYPE DeviceType; CCHAR StackSize; union { LIST_ENTRY ListEntry; WAIT_CONTEXT_BLOCK Wcb; } Queue; ULONG AlignmentRequirement; KDEVICE_QUEUE DeviceQueue; KDPC Dpc; ULONG ActiveThreadCount; PSECURITY_DESCRIPTOR SecurityDescriptor; KEVENT DeviceLock; USHORT SectorSize; USHORT Spare1; PDEVOBJ_EXTENSION DeviceObjectExtension; PVOID Reserved; } DEVICE_OBJECT, *PDEVICE_OBJECT;
-
OK, noch was gefunden:
DRIVER_OBJECT
und noch was
LDR_DATA_TABLE_ENTRY
-
...na geht doch... mit der Nachbarin;)
-
Musste beim letzten Mal noch auf rootkit.com rumstöbern, hätte nicht gedacht, dass das jetzt zu den Standardinfos gehört .
-
Mmmh...
Da scheint sich unter Vista was grundlegendes in der Verwaltung von Treibern geändert zu haben - ist wesentlich sicherer geworden. :cool: -
Gibt es überhaupt Programme, die unter Vista Treiber verstecken? So ganz einfach scheint das nicht mehr zu sein... :cool: :cool:
-
Wenn es einfach wäre, wärst du doch unterfordert.
-
Zitat von Frabbing;689527
Wenn es einfach wäre, wärst du doch unterfordert.
Ich will ja nichts verstecken :-).
Microsoft scheint den Ort, wo mache APIs die mit Treibern umgehen ihre Daten auslesen, geändert zu haben. Es scheint deshalb nicht mehr auszureichen, einen Treiber nur noch aus der PsLoadedModuleList "herauszuschneiden" (ungetestet).
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!