Поиск чужака в ядре

Отладкой драйверов я не занимался со времен Sp2, а тут подвернулась возможность разобраться в современном инструментарии! 

Ах, старичок Syser, почто ты меня покинул?

Sc_Syser_2011-7-29_18.22

Ладно уж, SoftIce вспоминать не будем. Возможно, в эру шагающих роботов (когда выйдет Ollydbg64)  будет много инструментов для отладки ядра, а пока будем пользоваться дебаггером от майкрософта.

windbg

ntdebug-ntfs

Чтобы подебажить локальную систему создайте bat c текстом:

И запустите от имени администратора.

Все команды приводить не буду, но вот пара интересных:

d fffff88000DB1880дамп памяти по адресу fffff88000DB1880
u fffff88000DB1880дизассемблировать код по адресу
.writemem C:\1.dll fffff88005584000 L?500записать дамп 500 байт по адресу fffff88000DB1880 в файл C:\1.dll

Много интересного по дебаггеру можно почитать здесь.

Для ручного поиска руткитов имеет смысл прочесть ЭТО, хотя хук SSDT на 64  не очень актуален.

XueTr

hook

На удивление бодрый антируткит. После прекращения поддержки RKU, на мой взгляд, стал самым полезным инструментом.

Скачать можно здесь.

GMER

gmer

Живее всех живых, умеет парсить диск и реестр без нативных API, неплохо ищет хуки.

Скачать можно здесь.

 

 

One thought on “Поиск чужака в ядре

Добавить комментарий