[勉強会] 名古屋勉強会#4おつかりさまでした

st.lain — Mon, 27 Oct 2008 12:08:00 GMT

名古屋勉強会お疲れ様でした。普段の上がり症に加えて初登壇という更なる

プレッシャーでずっっっっとテンパってました。メイン(BSoD)のお話が終わった

時点でまだ10分も余ってるとか(汗

ホントはフィルタ部分は話すつもりぢゃなかったのですけどね・・・。

さておき、振り返って説明が足らなかった部分を補足しておきます。

文字だけ補足ですが。

NtCreateFile()のコール部分ですがWin32::CreateFile()からの呼び出しに
対して各種パラメータのチェックを受けたはずです。ですのでWin32サブシステム
の真横あたりにセキュリティサブシステムがいます的な話をしわすれ・・・
FileMonについてですが、SSDT上のコールアドレスを書き換えているかと思って
いましたが、ファイルシステムドライバ上にフィルタということでデバイスを
突っ込んでいるようです。(詳しくはネットに転がっているソース見てね　ミ☆)
RegMonについてですが、どぉやってトラップしているか仕掛けが掴めませんでした。
SSDT云々だと厄介な点があるので・・・(こっちはソースが見つからない orz)
FileMon, RegMonがドライバであるにも関わらず、どぉやってユーザーモードの
プロセスと情報のやり取りをしているかの説明をすっぽかしてしまいました。
簡単に書くと、デバイス側でIoCreateSymbolicLink()を呼び出すと、Win32::CreateFile()で
デバイスを開くことができます。開くことのできるデバイスはWin32::QueryDosDevice()
で一覧を取得することができます。
(ObjectWalkerで「Global??」or「??」の配下にあるオブジェクト群に対応します)

SSDT云々のお話は以下を参照ください。

>> Hooking Windows NT System Service

Figure見てもらえば色々面白いのではないかと思います。パラメータのチェックについても

同URLに記載されております。紹介しようかと思ってましたが、諸事情で・・・（ｒｙ

DependencyWalkerとかもせっかく用意したのにテンパってすっ飛ばした・・・という、

ゆとりが大切だと認識させられるセッションでした（ｗ

次回、12月6日にLT枠で応募していますので、たぶん次回は大丈夫・・・なハズ？

[勉強会] 名古屋勉強会#3 お疲れ様でした

st.lain — Sun, 27 Jul 2008 00:17:00 GMT

名古屋勉強会お疲れ様でした。特に発表者の方々、いつも勉強させていただいております。m(_"_)m

勉強会でしゅうたんうちわを頂いたので、さっそくりょーいちさんのセッションを

受けた成果をっっっ

・・・、うまく写らないよぉぉぉ orz

セッション受けて一朝一夕でうまくなるものぢゃないですよね・・・。

Dukeクン(ペンギンぢゃないと知ったのはつい1週間前)の黒さが目立つのカナぁ。

そもそも背後に紙を引いたけど自分の影で変なグラデーションのっかっちゃったし。

写真の世界はむづかしいです。

# いい感じに3次会が盛り上がってますね（ｗ