27-12-2009 22:47

Windows 7 ile birlikte 32bit ile değilde özellikle 64bit versiyonları için Patch Protection (KPP) mekanizmasının en son hali ile tüm rootkit erişimlerini engelleyeceğini ve artık programların kernelmode erişimlerinin son derece kısıtlı olacağından bahsediliyordu. Ancak daha az önce denediğim testte processe ait EPROCESS yapısındaki activeprocesslink listesine müdahale ederek zararlı programımı bilinen tüm taskviewer programlarından (process explorer, process hacker, taskmanager, tasklist.exe etc..) gizleyebildim. Tabi SSDT (Service Descriptor Table) hook denememim başarısız olması ise geçici olarak rahatlamama neden oldu ancak vista 64b'de olduğu gibi sanırım bununda aşılması uzun sürmez ve eski güvenliksiz günlerimize geri döneriz.