Собственно, решил я заняться сабжем. Все просто -открываешь '\Device\PhysicalMemory', правишь GDT...
Но возник вопрос - как записать в память ядра? Хочу, например, пропатчить NtCreateFile. Но память read-only.
Это ведь кодовый сегмет, и значит, доступ стоит на чтение и выполнениею. Есть ли способ записать туда данные?

И еще маленький вопросик - как добавить секцию к PE, если в нем нет места для новой object entry? (место между заголовком и первой секцией занято директорией bound import) Просто кильнуть директорию? или есть варианты получше?...

Grenader

Защита памяти в win2000 отключается через реестр:
HKLM\System\CurrentControlSet\Control\Session
Manager\MemoryManagement\

поменяй значение EnforceWriteProtection

или вручную так:

mov ebx,cr0
push ebx
and ebx,010000
mov сr0,ebx
;
;здесь делаем свои дела 
;
pop ebx
mov cr0,ebx

Данный способ совсем не нов.
Также можно попробовать изменить файло(скажем
KMD драйвер)на диске, затем перезапустить
винду(предварительно потребуется sync by Russinovich).

Большое спасибо!

Простите за нескромный вопрос,
но
and ebx,010000 чего?
(h),(b),или принять за десятичное?

Шестнадцатеричное
and ebx, not 010000h
Это "Write Protect (bit 16 of CR0)"

[поправлено] Извиняюсь за ошибку - память подвела.

16 бит нужно сбросить, чтобы из r0 во все юзерные страницы можно было писАть.

mov eax, cr0
push eax
and eax, not 10000h


pop eax
mov cr0, eax

Four-F
Пасиб, я-то уже разобрался, и написал

btr	ebx, 16

Но сколько еще народу может повесить себе машины AND'ом?..

Не могли бы, по-подробнее, про "\Device\PhysicalMemory" и споспоб преобретения ring0. Или, если есть, линк подскажите.

Выполни поиск по форуму. Там будет и линк. Я давал.

Большое человеческое спасибо. Чтю

PING
Кароче, поправить тот битик, который запрещает запись в страницы, помеченные только для чтения в r3. Это всё хорошо описано в книжке господина Зубкова 'Ассемблер для дос, виндовс и юних'. Лучьше возьми второе издание.

Grenader
По поводу bound'a. не надо его килять. Сдвигай его нафик 8-) на сколько надо. Незабудь только потом выставить в directory table его новый оффсет.

intuit
а места все равно может не хватить - если программист паталогически наплодит секций...

а под ХР как?

http://www.phrack.org/archives/

Там читать статью в номере 59 "Playing with Windows /dev/(k)mem"

Forbidden

You don't have permission to access /archives/ on this server.