[pso] [Tema1][win] Interceptare apeluri de sistem

Lucian Adrian Grijincu lucian.grijincu at gmail.com
Mon Feb 28 14:09:34 EET 2011


2011/2/28 Claudiu Mihail <claudiu.bogdan.mihail at gmail.com>:
> Salut,
> Revin cu o mica intrebare mai mult pentru cultura mea. Momentan incerc sa
> fac interceptare la intreaga tabela de apeluri de sistem. Interceptarea
> merge si se vede in DbgView ce apeluri sunt executate si si return code au
> (momentan nu loghez alte date). In momentul cand dau unload la driver imi
> iau un blue screen. Can interceptez doar cateva apeluri, gen NtReleaseMutant
> (care se apeleaza foarte des) nu se mai intampla asta.
> Realizez ca este a bit beyond the scope of the homework dar eram curios daca
> cumva fac ceva teribil de gresit. Ma gandesc ca o data ce driver-ul este
> unloaded adresa procedurii de interceptare devine invalida si poate mai sunt
> procese care depind de ea sau ceva de genul.


Eu am făcut ceva similar pe linux acu câțiva ani.

Acolo un apel de sistem (parcă exit()) făcea niște presupuneri despre
locația de pe stivă la care se aflau niște informații. Din cauză că eu
introduceam un intermediar (interceptorul) presupunerile astea nu mai
erau valide => anumite zone de memorie nu erau inițializate corect =>
kernel panic.

-- 
 .
..: Lucian


More information about the pso mailing list