Not a kernel guy

Некоторое время назад мне нужно было проанализировать как различные приложения используют один из компонентов системы. Этот компонент (или, скажем , библиотека) предоставляет API из нескольких функций, которые почти никогда не вызываются приложениями напрямую. Вместо этого цепочка вызовов может идёт через довольно пухлого посредника, логика работы которого не до конца понятна и очевидна.

(more…)

Статья полугодовой давности: CPU Virtualization Extensions: Analysis of Rootkit Issues. Анализируется степень опасности, которую могут представлять вирусы и прочее вредоносное программное обеспечение, использующие аппаратную поддержку виртуализации, как средство контроля над операционной системой. Интересны выводы:

(more…)

Джоанна Рутковска (Joanna Rutkowska), stealth malware researcher из COSEINC Advanced Malware Labs прошлом , а ныне одна из двух основателей Invisible Things Labs, разработала синюю таблетку (Blue Pill) – технологию, позволяющую создавать, как заявляется, 100% необнаруживаемые вирусы.

(more…)

Понимаешь, до сих пор мне никто не может внятно сказать, почему нельзя было 64х приложения пихать в новый ключ Регистра, вместо перенаправления 32х на новое “место жительства”. Будь ласка, если это твоя специализация, обоснуй!

Итак, почему же Wow64 использует перенаправление реестра и файловой системы вместо того, чтобы просто закрепить старые ключи реестра и “%windir%\system32” за 32-х разрядными приложениями и позволить 64-х битным приложениям определить новые ключи и использовать, скажем, “%windir%\system64” для 64-х битных системных библиотек? Это было бы довольно логично, особенно если учесть, что нечто подобное уже было проделано при переходе с Windows 3.x на Windows 95/NT.

(more…)

Сегодня с утра возился с решением забавной проблемы. Началось всё с того, что вчера Katy, наш администратор, обрадовала меня, сообщив что пришли заказанные диски и FireWire контейнеры для них. К концу дня радость немного поугасла, так как выяснилось, что оба диска одновременно работать отказываются. Т.е. любой из них по отдельности работал как часы, а вот при подключении второго ничего не происходило. Диск не появлялся.

(more…)

Alex Ionescu начал серию статей, посвященную базе совместимости приложений в Windows (Application Compatibility Database, SDB). Пока что опубликована только первая часть, однако, если я правильно интерпретировал список в конце статьи, нас ждет ещё 8 частей. Однозначно рекомендуется к прочтению.

Как-то неожиданно для себя наткнулся на функцию RegCreateKeyTransacted. Начал копать дальше и обнаружил, что в ядро Vista встроен менеджер транзакций (Kernel Transaction Manager, KTM), поддерживающий локальные и распределенные транзакции. Реестр и NTFS теперь тоже поддерживают транзакции. Перечень файловых операций и функций для работы с реестром был расширен функциями, имена которых завершаются на «Transacted». RegCreateKeyTransacted – одна из них. Кроме того, разработчики вольны добавлять свои менеджеры ресурсов (resource manager), реализующие поддержку транзакций для произвольных хранилищ данных.