Хак ядра NT

       

при загрузке альтернативного


Кому из них верить? Вопрос совсем не риторический! Если мы хотим сравнить образ ядра с его файлом на диске (для обнаружения on-line patch'а, например), нам необходимо точно знать к чему обращаться иначе… можно совсем не в тот лес забрести.

Ответ дает команда "mod" того же soft-ice, показывающая имя модуля ядра — ntoskenl.exe и соответствующий ему файл — ntoskrnH.exe (см. рис. 9). Весь фокус в том, что имена модулей не обязаны соответствовать именам файлов. И это относится не только к ядру, но и ко всем динамическим библиотекам вообще! При первой загрузке статической компоновкой или API-функцией LoadLibrary, система находит файл на диске по его имени, а при загрузке уже загруженных модулей поиск идет в памяти, где в таблице экспорта непосредственно прописано кто есть кто!



Содержание раздела