KENJI’S BLOG このページをアンテナに追加 RSSフィード

Freezed...

2008-07-28

とりあえずSYSENTER呼んでる関数をCALLしている関数を集めてみた

http://kenjinet.s26.xrea.com/call_sysenter.txt

昨日のコメント欄で教えてもらったサイトより、とりあえずSYSENTER呼んでる関数をCALLしている関数を集めてみたが…、どこからも呼ばれていない関数(システムコール)があるのは何故なんだぜ!

というか、NtDeleteFileがどこからも呼ばれてないとか有り得ないだろ…(汗)。となると、kernel32.dllのDeleteFile関数辺りは、動的に関数アドレスを取ってきてNtDeleteFileを呼んでいるのか…? ちょと調べる必要がありそう…?

rootkitrootkit 2008/07/28 08:47 DeleteFileは、NtDeleteFile APIを呼ばず、FileDispositonInformation Classを引数に指定したNtSetInformationFile APIによってファイルの削除を行っていたります。

kenjiaikokenjiaiko 2008/07/29 13:51 おおーなるほどー
ということは本当にNtDeleteFileってどこからも呼ばれていないんでしょか?
あと呼ばれてないAPIがいくつかあったらその分変なコードとか注入できてまた何か面白いことできそうなんで期待

rootkitrootkit 2008/07/30 13:18 誰かがこっそり呼び出していない限りは、呼び出されないのだと思います、未確認ですが。

スパム対策のためのダミーです。もし見えても何も入力しないでください
ゲスト

コメントを書くには、なぞなぞ認証に回答する必要があります。

トラックバック - http://d.hatena.ne.jp/kenjiaiko/20080728/1217198987