どこから始めればよいか、または Windows カーネル (XP 以降) にフックまたはパッチを適用する方法を知りたいです。特に、McAfee Entercept のようなソフトウェアや、カーネルにパッチを適用するウイルス対策スキャナーに興味があります。スタートアップがカーネルに機能を追加するソフトウェアを作成することがどれほど実現可能かを知りたいです (私は KPP を認識しており、それをバイパスできる可能性があることを知っています)。簡単な説明を見つけることができず、Win32 の経験は限られています。どんな助けでも大歓迎です、
J
さらなる明確化:私はそのようなドライバーを求めているわけではありません。たとえば、PaXのようなものをWindowsに移植することが技術的に可能かどうかに興味があります。Windows には既に実装があるため、これは悪い例ですが、NT ソースにアクセスせずに同様のテクノロジを移植できるかどうかに関心があります。
はい、カーネルにフックする可能性は十分にあります。Windows InternalsとRootkitsという書籍を強くお勧めします。
これらは、必要なすべての情報を提供するはずです。
Microsoft Detoursライブラリを使用すると、プロセスからの API 呼び出しをインターセプトし、独自のコードを挿入または置換できます。
この種のことを成功させるには、限られた Win32 の経験以上の経験が必要になる可能性が高いことに注意してください。ご想像のとおり、これは非常に複雑なトピックになる可能性があります。
ドライバーの開発は決して簡単な作業ではありません。ウイルス対策ソフトウェアは、ファイル システム (ファイル システム フィルター ドライバー) を処理する必要があり、生活をより複雑にします。何を達成しようとしているのかをより詳細に説明しようとすると便利です。
ドライバー開発に最も推奨されるリソースはOSRです。関連する 2 つのメーリング リストがあります。
ブックリストはこちらからご覧いただけます。
ドライバーがあなたの中心的な忙しさでない限り (この場合は、カーネル経験のある人を見つけてください)、この作業をアウトソーシングすることを強くお勧めします。上記のリストでは、多くのコンサルタントを見つけることができます。
Windows ソースには基本的にアクセスできません :) 残念ながら。仮想メモリ マネージャーを操作するには、カーネル モードである必要があります (可能な場合)。
ntdev でこの質問をしてみてください。世界中のほとんどのカーネル開発者に尋ねます。合理的な答えを得るには、より具体的な質問をする必要があります (スレッド、興味深いトピックを見ていきます)。
自分が何をしたいのかを正しく理解していれば、これは Windows では不可能です。少なくとも主要なリバース エンジニアリング作業がないわけではありませんが、私は主に標準タイプのドライバーを使用しているため、最終的な結論を下すには十分な知識がないと思います。
コメントへの返信 :
Entercept が正確に何をしているのかはわかりません (製品の説明には、メモリの再生やアクセス許可の処理を示唆するものは見つかりませんでした)。そのため、これを達成するための特定のテクノロジーではなく、最終的な目標を定義することが、より生産的な方法になる可能性があります。
コメント 2 への応答:
1.1。リズとは?
LIDS は、Xie Huagang と Philippe Biondi によって書かれた Linux カーネルの拡張機能です。Linux カーネルにネイティブにないいくつかのセキュリティ機能を実装しています。1. 強制アクセス制御 (MAC) - 本当の
意味がわからない。2. ポート スキャン検出器 - これは、このサイト
で間違いなく実行可能な外観です。
3. パイル保護 - 上で説明したファイル システム フィルター ドライバー。
4. プロセスの保護 -ドライバーでプロセスの作成をフックできます。これについては多くの議論がある ntdev アーカイブを参照してください。
カーネルにパッチを適用することについて、なぜこれを行いたいのか、また公式 API では目的の場所に到達できないと考える理由について適切な説明を提供せずに話します。結果として、何らかのマルウェアを作成することを計画していると想定する必要があります。stackoverflow の誰かがこれを手伝ってくれるとは期待しないでください。