研究者を目指して...:I/Oリクエストパケット - livedoor Blog(ブログ)
Windowsでは、I/Oリクエストパケット(IRP)と呼ばれる構造体を使ってカーネルモードデバイスドライバと通信する。I/Oリクエストの処理には二つの構造体が必要不可欠である。ひとつは、I/Oリクエストパケット自体で、もうひとつはIO_STACK_LOCATION構造体である。 IRP IRPの構造を下図に示す。 MdlAddress(PMDL)は、このリクエストに対応するユーザモードバッファを記述するメモリデスクリプタリスト(MDL)のアドレスである。I/Oマネージャは、最上位のデバイスオブジェクトのフラグにDO_DIRECT_IOが含まれていたら、IRP_MJ_READ、IRP_MJ_WRITEリクエストのためにこのMDLを作成する。また、コントロールコードにMETHOD_IN_DIRECT、METHOD_OUT_DIRECTが含まれていたら、IRP_MJ_DEVICE_CONTRO
StealthMBRの持つ防衛策を見極める
McAfee Avert Labs Blog 「Exploring StealthMBR Defenses」より March 23, 2008 Posted by Aditya Kapoor, Rachit Mathur 以前に執筆した記事で約束した通り,今回はルートキット「StealthMBR」(関連記事:MBR感染機能付きルートキット「StealthMBR」--古い瓶に詰めた新しいワイン)で用いられているいくつかの興味深いテクニックと,その背後にある目的を検討する。ここで紹介する新しい亜種は,カーネル・レベルで広範な防衛策を実装しており,その何層にもわたる防御を見る限り,組織化され,技術力のあるカーネル・コードの開発者(集団)が,一定の品質を保ちながらも非合法に報酬を得ているようだ。StealthMBRは,かつての「BootRoot」のテクニックを受け継いでいるものの,その防御手法は刻
Different Ways of Handling IRPs - Cheat Sheet - Windows drivers
A Windows Driver Model (WDM) driver typically sends input/output request packets (IRPs) to other drivers. A driver either creates its own IRP and sends it to a lower driver, or the driver forwards the IRPs that it receives from another driver that is attached above. This article discusses different ways that a driver can send IRPs to a lower driver and includes annotated sample code. Scenarios 1-5
Process Monitor (旧:FileMon)
【説明】Process Monitor は Sysinternals のレガシ ユーティリティである 2 つの機能、Filemon と Regmon を組み合わせたものですが、豊富な非破壊フィルタリング、セッション ID、ユーザー名などの情報を含む包括的なイベント プロパティ、信頼性の高いプロセス情報、各操作に対する統合されたシンボル サポートを備えたフル スレッド スタック、ファイルへの同時ログ記録など、多くの機能強化が施されています。独創的で強力な機能を持つ Process Monitor は、システムのトラブルシューティングやマルウェア検出において中核的な役割を果たすツールキットとなるでしょう。 Filemon と Regmon からの機能強化 Process Monitor のユーザー インターフェイスやオプションは Filemon と Regmon のものと類似していますが、次の
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
