Всем привет.Каким-то прекрасным вечером захотел я написать в качестве ознакомления bootkit.Теперь уже как пол года не могу оторваться от этой затеи.У меня не получается вот такой момент:Я хучу int 13h,смотрю в прочитанном буфере вот такую цепочку 8B F0 85 F6 74 21 80 3D.Если её нашёл,то заменяю её на call моя_обработчик,в котором выполняется мой код и потом 8B F0 85 F6 74 21 80 3D.Вопрос вот в чём,после патчинга винда не грузится.В чём может быть проблема?
есть такие замечательные люди как Nitin Kumar и Vipin Kumar они выложили в паблик свой буткит. Довольно нормально описано всё. Ищи по ключевым словам bootkitbasic или privilege escalation boot kit и именам авторов. Там был пример даже буткита который давал cmd права системы. От туда и поглядишь как и что делается.
Ну,в общем,нашёл я пример получения cmd с правами system,но,к сожелению,исходник буткита после компиляции не соответствует приложенному файлу,что означает,что из исходника что-то скрыли.Вот сам вод: http://newprogrammers.ru/rootkits.rar
Если я все правильно понял, о почему бы не декомпилировать готовый билд и не посмотреть в чем изменения? Может дело просто в оптимизации?
Кстати,изночально код компилируется,но получается файл с размером 0.и список 3 ошибок: Code: bootkit.asm:388 operation size not specified bootkit.asm:393 operation size not specified bootkit.asm:448 operation size not specified Вот на каком моменте эти ошибки: Code: 388 строка: push CODEBASEKERNEL + newthreadstartshere;threadstartlocation я исправил на push dword CODEBASEKERNEL + newthreadstartshere ; threadstartlocation 393 строка была: push CODEBASEKERNEL + Threadhandle я исправил на push dword CODEBASEKERNEL + Threadhandle и 449 строка была: push CODEBASEKERNEL+fullbackdoorcode я исправил на push dword CODEBASEKERNEL+fullbackdoorcode По сути,подставил dword.Тогда всё отлинковалось нормально. Попробуйте,пожалуйста у себя испытать код и отпишитесь,как что получилось,очень уж душетрепещущая эта темя для меня.Может кто захочет со мной дописать буткит,тогда вот моя ася:114320.Буду вам рад. P.S вы просто не предстовляете,таких трудов мне стоило найти эти сорсы,везде попадалась урезонная версия,которая по идее патчит байты и выводит надпись,но не более,и даже это не работало.
