11 Comments

  • 1. texane  |  novembre 3rd, 2007 at 16:35

    lu, pas mal ton article sur ndis. dommage que ca manque un peu de vista/ndis6.0. Comme tu dis les principes restent applicables ‘en gros’, mais ils ont change pas mal de choses et quand t essaies de hooker les routines relatives aux send/recv de NET_BUFFER ca part vite en live. Des trucs comme la tronche des open block restent environ les memes, avec des grosse extensions. Sinon ce que tu dis concernant la furtivite c’est vrai, et ca va le rester sous vista quand tu vois Windows Filtering Plateform.

  • 2. mxatone  |  novembre 3rd, 2007 at 18:15

    A noté que je suis en greetz, ce qui fait de moi une p0rno star ;) !

    J’espère que mes comments (bien relous) t’ont aidé pour ton article en tout cas je le trouve très intéressant, gratz mec.

  • 3. newsoft  |  novembre 3rd, 2007 at 20:36

    Que vois-je, un commentateur qui prononce le mot « Vista » sur ce blog ? Copain !

    Sinon pour MISC, comme d’habitude, je vais devoir l’acheter car il arrive avec 3-4 jours de retard dans l’abonnement ;(

  • 4. Fred R.  |  novembre 4th, 2007 at 03:55

    @newsoft: c’est parce que tu as un abonnement spécial. À force de jouer les radins en truandant à securitech (pardon, pas truander, mais exploiter les stagiaires et autres jeunes) pour gagner un abonnement … tu as le droit à n traitement de faveur ;-) D’ailleurs, pense à renouveler ton abonnement surtout, parce que le dernier challenge datant d’il y a plus d’un an, c’est normal que tu ne le recoives plus … ;-)

    @ivan: mais oui, il est bien ton article. Et c’est vrai que le dossier est hardcore cette fois, sans doute un des « pires ». Mais bon, de tps en tps, il faut aussi se taper des trucs comme ça pour avancer. C’est que quand on le fait tout le temps qu’on finit comme toi à bouffer des chocapics à longueur de journée …

  • 5. Deimos  |  novembre 4th, 2007 at 19:52

    yo, sympa de voir qu’un de tes articles est publié dans MISC, ya de quoi être fier =) je le lirai à tête reposée ce week-end ( je pense qu’il vaut mieux … étant donné que je suis pas un windows kernel addict .. et que c’est toi l’auteur de l’article ;p )

  • 6. Dora  |  novembre 4th, 2007 at 21:28

    Pfff ca se lance des fleurs ici ! Je te donnerais mon babouch quand tu reussiras a casser « Transnistrie » dans MISC !

  • 7. Taron  |  novembre 4th, 2007 at 21:42

    putain les gars ils sont hard core vos blogs !

  • 8. Pierre  |  novembre 4th, 2007 at 23:47

    @newsoft: tu vas faire comment pr l’abo MISC sans l’édition 07 de SecuriTech ? ;-) Les stagiaires, tu les as deja

  • 9. marc  |  novembre 7th, 2007 at 09:46

    Je remercie J0rn, que son nom et son travail de bénédictin soient bénis par une couche de Masm 1.2 jusqu’à la 5eme génération.

    Et au passage, je compati avec les parents d’Ivan dont la réaction doit être équivalente à celle de ma chère maman lorsque je tente de lui expliquer certaines choses. Et pourtant, mes choses à moi, c’est comme du petit-lait comparé à de la morphine base à coté des Ivan-le-foleries

    A part çà, je partage l’idée de Texane . Ca aurait pu apporter de l’eau au moulin de News0ft

  • 10. martin  |  novembre 8th, 2007 at 07:43

    Tres bon article.

    Tu pouvais aussi mentionner les fastio pour le filtre FS. C’est une partie difficile a implementer correctement car jusqu’a recemment peut documente par MS. La detection du driver peut se reveler a se niveau.
    Les streams NTFS commencent a etre bien connu, on peut utiliser le filtre FS pour cacher le rootkit dans un fichier anonyme.

    On peut aussi citer le reassemblage de paquets reseaux avec offset de payload negatifs une autre methode pour echapper aux ids sans driver, …
    Bon c’est comme du code on peut tjrs ameliorer a l’infinie.

  • 11. Ben  |  novembre 10th, 2007 at 05:30

    Très bon article, merci beaucoup Ivan’

Trackback this post