Контрразведка с soft-ice в руках


Содержание


Контрразведка с soft-ice в руках
Введение
Время тоже оставляет отпечатки
Рисунок 2 поиск файлов, созданных
Рисунок3 исследование даты создания файлов при помощи FAR'а
Дерево процессов
Дерево процессов - часть 2
Рисунок 5 soft-ice показывает процесс sysrtl, отсутствующий в "Диспетчере Задач"
Допрос потоков
Рисунок 6 карта памяти "Блокнота", отображенная отладчиком OllyDbg
Рисунок7 карта памяти "Блокнота", отображенная утилитой PE-TOOLS
Листинг1 исходный код демонстрационной
Листинг2 информация о потоках, сообщенная soft-ice (приводится в сокращенном виде)
Рисунок8 Process Explorer от Марка
Листинг3 информация о четырех потоках, выданная OllyDbg
Листинг4 код потока 558h, находящегося в пределах страничного имиджа
Листинг5 на дне пользовательского
Листинг6 на дне пользовательского
Листинг7 карта памяти процесса
Листинг8 поток 578h хранит свой стартовый адрес не в третьем, а во втором двойном слове!
Рисунок9 содержимое дна стека
Восстановление SST
Листинг 9 функция ZwQuerySystemInformation
Рисунок10 механизм реализации системных вызовов
Листинг10 протокол работы с soft-ice, демонстрирующий получение адреса системного сервиса 97h
Листинг11 копия таблицы системных вызовом, хранящаяся внутри NTOSKRNL.EXE
Листинг12 неинициализированная SDT-таблица, хранящаяся в NTOSKRNL.EXE
Рисунок11 поиск SST в файле NTOSKRNL.EXE по перекрестным ссылкам
Рисунок13 …и результат ее работы на зараженной малварью машине
Листинг13 просмотр IDT в soft-ice
Заключение
>>> Врезка ссылки на программы, упомянутые в статье



- Начало -