Par contre Txon si tu veux bien m'aider avec le logiciel IceSword dans l'onglet SSDT j'ai une ligne en rouge avec dans Kmodule c'est unknow et dans name : NtWriteVirtualMemory, jai aussi d'autres lignes en rouges mais les drivers proviennent de ST et de OA.
Pour revenir à OA depuis que je l'ai installé, j ai des problèmes avec ce logiciel et la sanboxie ....
Sauf erreur de ma part ...
Writeprocessmemory et Readprocessmemory sont des « classes » pour lire ou modifier un processus en mémoire.
Writeprocessmemory utilise 3 fonctions de la libraire «
ntdll » :
NtProtectVirtualMemory,
NtWriteVirtualmemory and NtFlushInstructionCache.
NtWriteVirtualmemory peut éventuellement être utilisé pour écrire un « code » de rootkit.
CITATION(mxatone @ novembre 12th @ 2007 at 15:40 )
Voici comment NtWriteVirtualMemory check un pointeur :
Dump de NtWriteVirtualMemory():
and [ebp+ms_exc.disabled], 0
mov eax, _MmUserProbeAddress
cmp ebx, eax
jnb loc_5257A0
loc_505FD0:
mov eax, [ebx]
[..]
loc_5257A0: ; le mauvais cas ou l’adresse pointe dans le kernel space
mov dword ptr [eax], 0
jmp loc_505FD0
kd> dd nt!MmUserProbeAddress L 1
80557bb4 7fff0000
Quand on regardes ca, on comprend d’abord pas vraiment pourquoi dans le mauvais cas il essaie d’ecrire 0 a MmUserProbeAddress et continue …
C’est tout simplement pour lever une exception catch plus loin (pour return un status d’access denied).
Alors si la page en question est writeable, l’exception n’est pas leve et on peut ecrire en ring0 … on imagine la suite facilement
.
Donc okay mais attention, pas writeable.
Je n'ai jamais eu à le faire, mais à priori, pour contrôler la librairie « ntdll » tu devrais pouvoir essayer >>>
NTDLL.DLL (résultat non garanti).
As-tu trouvé des traces de ce « hook » ailleurs avec IceSword ?
Peux-tu contrôler ce qu'en dit RkUnhooker, tant dans la section SSDT que dans la section [Code Hooks Detector]
Quel(s) logiciel(s) de protection utilises-tu ou as-tu utilisé dans le passé sur ce PC (exemple Outpost Firewall Pro) ?
Après avoir fait une sauvegarde système + logiciels installés, peux-tu ...
Avec IceSword essayer la fonction [Restore] sur le crochetage en question (click droit).
Avec RkUnhooker essayer la fonction [Unhook Selected] sur ce « hook » ???
Agur !