Русский / Russian English / Английский

Сейчас на форуме: (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› брэйкпоинт с помощью DEP
Посл.ответ Сообщение

Ранг: 40.0 (посетитель)
Статус: Участник

Создано: 19 января 2007 08:22 New!
Цитата · Личное сообщение · #1

Давно ещё года 2 назад в процы добавили DEP - предотвращение выполнения данных. Т.е. если память помечена как недоступная для выполения, то будет исключение. Но что-то у меня не получается поймать передачу управления на секцию кода.. пробовал только VirtualProtect с аттрибутом PARE_READWRITE(флаг EXECUTE сбросил естесственно) - никаких исключений что-то не происходит. Подскажите как эту фичу задействовать вообще.. проц intel Core 2 duo естесственно всё это он поддерживает.

Ранг: 22.5 (новичок)
Статус: Участник

Создано: 19 января 2007 08:44 · Поправил: wormking New!
Цитата · Личное сообщение · #2

во первых надо чтоб проц аппаратно поддерживал xd/nx бит (а коре 2 поддерживает), во вторых фича работает наскока помню только в PAE


Ранг: 120.6 (ветеран)
Статус: Участник
rootkit developer

Создано: 19 января 2007 08:44 New!
Цитата · Личное сообщение · #3

включи еще деп для процесса с помощью ZwSetInformationProcess(ProcessExecuteFlags

На самом деле, винда все страницы (в том числе и EXECUTE_READWRITE) помечает флагом NX, и по исключению либо сбрасывает этот флаг, либо передает исключение программе (зависит от установленого ProcessExecuteFlags и атрибутов страницы)


Ранг: 240.5 (наставник)
Статус: Участник
Author of ACKiller

Создано: 19 января 2007 09:12 New!
Цитата · Личное сообщение · #4

Ms-Rem пишет:
ProcessExecuteFlags

Гугл находит только -
www.securitylab.ru/analytics/263899.php - на русском
www.uninformed.org/?v=2&a=4&t=txt - то же самое , но на английском


Ранг: 120.6 (ветеран)
Статус: Участник
rootkit developer

Создано: 19 января 2007 09:18 New!
Цитата · Личное сообщение · #5

Ну читай, раз находит.

Ранг: 40.0 (посетитель)
Статус: Участник

Создано: 19 января 2007 09:28 New!
Цитата · Личное сообщение · #6

Ms-Rem пишет:
На самом деле, винда все страницы (в том числе и EXECUTE_READWRITE) помечает флагом NX, и по исключению либо сбрасывает этот флаг, либо передает исключение программе (зависит от установленого ProcessExecuteFlags и атрибутов страницы)


Мда очень умно сделано, производительность наверное вырастет от этого

По теме, так я не много протупил, при установке флага "использовать DEP для всех программ" и перезагрузке бряки заработали во всех прогах кроме одной которой надо Вот и буду разбираться что же там такое происходит..


Ранг: 120.6 (ветеран)
Статус: Участник
rootkit developer

Создано: 19 января 2007 09:43 New!
Цитата · Личное сообщение · #7

dragon пишет:
Мда очень умно сделано, производительность наверное вырастет от этого

Вообще то такое решение позволяет на ходу менять флаги DEP, не трогая атрибуты всех страниц процесса. А производительность оно садить не будет, так как исключение идет только на первом обращении к странице.
 eXeL@B —› Основной форум —› брэйкпоинт с помощью DEP

Видеокурс ВЗЛОМ