Tu as fais attention à tes fautes d’orthographe, c’est bien! Tu as donné la référence du livre aussi c’est un autre bon point! Cependant je crois que tu as oublié de mentionner ,comme s’est bien écrit dans le livre, qu’avec la méthode NtSetSystemInformation ton driver va être dans le paged pool. Cela peut donc causer tout un problème si tu enregistre un ISR par exemple. Ok, tu fais des rootkit donc tu ne feras jamais cela, mais si tu hook une fonction du kernel et que cette fonction est appelé pendant que ton driver est « swaper » et que le système est dans un IRQL qui ne permet pas de faire un sleep (égale ou supérieur a DISPATCH_LEVEL), il va arriver quoi? Tu vas avoir un BSOD. Évidemment à partir de ton driver tu peux allouer de la mémoire non-paged et mettre tes fonctions dans cette plage de mémoire.
2 Comments
1. santabug | janvier 2nd, 2007 at 17:06
hehe nice paper
Vive le RCE et la prog sys.
2. abc | janvier 2nd, 2007 at 19:43
Salut,
Tu as fais attention à tes fautes d’orthographe, c’est bien! Tu as donné la référence du livre aussi c’est un autre bon point! Cependant je crois que tu as oublié de mentionner ,comme s’est bien écrit dans le livre, qu’avec la méthode NtSetSystemInformation ton driver va être dans le paged pool. Cela peut donc causer tout un problème si tu enregistre un ISR par exemple. Ok, tu fais des rootkit donc tu ne feras jamais cela, mais si tu hook une fonction du kernel et que cette fonction est appelé pendant que ton driver est « swaper » et que le système est dans un IRQL qui ne permet pas de faire un sleep (égale ou supérieur a DISPATCH_LEVEL), il va arriver quoi? Tu vas avoir un BSOD. Évidemment à partir de ton driver tu peux allouer de la mémoire non-paged et mettre tes fonctions dans cette plage de mémoire.
Au plaisir de te revoir le plus tôt possible.
La soeur à abcde.
Trackback this post