Discussion :

[Neitsa]

Bonjour,

est ce que quelqu'un sait comment faire pour trouver la listes des modules chargés par un process, en mode kernel , qu'il y ait un rootkit ou pas?

On récupère un pointeur sur la structure EPROCESS (qui décrit un processus au niveau noyau), puis:

EPROCESS->Peb->Ldr

Le membre "Ldr" est de type PEB_LDR_DATA. De là on peut parser une des listes "xxxOrderModuleList" pour avoir la liste des modules chargés. On pourra toujours transtyper un des membres vers un type LDR_DATA_TABLE_ENTRY.

C'est une implémentation possible, il doit en exister d'autres.

Je vais mettre un gros warning tout de même: attention la méthode exposée n'est pas documentée officiellement et c'est un gros hack.

[dvechamb]

Neitsa a parlé de PsSetCreateProcessNotifyRoutine. Jai un driver qui détecte les création de process et qui se sert de ca. est ce possible qu'il ne détecte pas des processus cachés?