오래된 루트킷 중 하나인 "FuTo"의 소스코드입니다.
PspCidTable을 파싱해서 EPROCESS 포인터를 숨기는 코드 등 재미있는 코드들이 들어있네요. 시간날때 까봐야겠습니다.
출처 : http://rapidshare.com/files/214741940/FUTo_enhanced.zip
원래 찾으려던건 저게 아니고, 저 속에 있는 헤더파일 하나였습니다. ^^;
'Scrap > Kernel' 카테고리의 다른 글
Win7/8 에서 커널메모리덤프가 남지 않을때 살펴봐야 할 체크포인트 (0) | 2012.08.29 |
---|---|
Introduction to Registry Filtering in Vista (0) | 2012.05.22 |
Vista Undocumented Kernel Structure (1) | 2012.05.18 |
Using Lookaside Lists (0) | 2012.04.21 |
Inside NT's Asynchronous Procedure Call (0) | 2012.04.20 |