Exemple & Application d’une génération de code à partir de fichiers .PDB et de l’api DIA_SDK
Le but de cet article est de présenter une méthode pour faciliter la portabilité d’un code anti-rootkit, situé en ring0, qui irait directement lire les structures kernel, par exemple les champs ‘VadRoot’ et ‘ObjectTable’ de la structure ‘_EPROCESS’. Le problème qui se pose avec cette méthode est l’instabilité du code : un accès erroné à une zone mémoire dans un code kernel et c’est le BSOD assuré !
lire la suite :
http://blog.security-x.fr/2013/02/15/exemple-application-dune-generation-de-code-a-partir-de-fichiers-pdb-et-de-lapi-dia_sdk/
