Acabo de escribir un artículo demostrando algunos fallos que tienen la mayoría de modulos de Kernel que utilizan los sistemas de seguridad como son Anti-Virus, Firewalls, etc.
 
Junto con el artículo hay un pequeño programa que se encarga de la protección de un archivo y otro programa que se encarga de burlar dicha protección aprovechando la no verificación de las direcciones almacenadas en las variables. En el programa de parcheo no e restaurado la entrada en la SSDT (un metodo mucho más fácil que el que e usado) ya que pretendia explotar el fallo que cometen algunos sistemas de seguridad, que es el de la no verificación de las direcciones. Ya que algunos verifican que la entrada de la SSDT permanezca hookeada pero no verifican la dirección a la que van a llamar. Una vez parcheada la dirección, nos encargamos de envenenar (cambiar) los parámetros por otros falsos y el programa de protección ni se entera.
 
Descarga
 
Un Saludo
 
Mateu