勘違いだったので削除しました。すみません。 ここで書いていたジャンクションを利用したケースではファイルを開けないので、論点としたかった問題は起こりません。 名無しさんありがとうございます。 以下内容。 低い権限のユーザーが作成したジャンクショ…

EXE、TMP、SYS、BAT ——— 何でも一緒だ。マルウェア解析では、どんなものからも目を離してはいけない。 ファイルが削除されようとしたタイミングで、そのファイルをバックアップコピーするフィルタドライバを書いてみました（ScavengerFolk.cab）。よければど…

デバイスドライバがカーネルにロードされたタイミングで、そのファイルをバックアップコピーするデバイスドライバを書いてみました（drvcopy.cab）。よければどうぞー。

ドライバ開発の際には従来広くASSERTマクロが使われているが、最近のWDKではASSERT定義周辺に、NT_ASSERTというマクロが追加されている。このマクロは現時点では文書化されていないものの、ASSERT Yourself - The New NT_ASSERT Macro in the WDKにおいて、…

この辺眺めながら。個人的には大好きなVT技術なのだけど、ここではハイパーバイザーの存在はそんなに重要でない。ハイパーバイザーを使ったほうが楽に、良いものができるのは間違いないが、同じアーキテクチャにするにしても、drvcopyのようにAPIを使ってド…

／） ／／／） ／,.=ﾞ''"／ ／ i f ,.r='"-‐'つ＿＿＿_ 細部にとことんこだわろうぜ！！ / / _,.-‐'~／⌒ ⌒＼ ／ ,i ,二ﾆ⊃（ ●）. （●）＼ / ﾉ ilﾞフ::::::⌒（__人__）⌒::::: ＼ ,ｲ｢ﾄ､ ,!,!| |r┬-| | / iﾄヾヽ_/ｨ"＼ `ー'´ ／ という衝動との葛藤なわけです。…