08/02/07 06:39:02
nProがパン屋さんをどのように弾いてるか、検証したことはないが、
推測するに、プロセスそのものをブラックリストに入れてる以外には多分
パン屋さんと Ringo.sys との通信を邪魔してるのが大きいと思う。
nProは自身でホワイトリストを持っていて、Kbdclassのドライバについてはそこ登録されてある許可された
もの以外とは通信できないように邪魔している。(カーネル側からNtWriteFileをフックし、渡された
ファイルハンドルからドライバ名を逆引きして、それがホワイトリストに乗っていない場合は弾く)
で、そのホワイトリストの中身がこれだ:
SynTP
Point32
LMouFlt2
PenClass
Ktp3
Amfilter
Mkd2kfNt
ApfiltrService
MMKBD
itchfltr
バイナリ書換えとかに慣れている人なら、
Ringo.sysのファイル名及び内部のサービス名("MayuDetour1")を上記名前のどれかに書換えて、
rebaseツールなどでドライバのchecksumを修正して、なおかつ、呼び出し元であるパン屋さん側の
文字列もそれに対応して修正してやれば、ドライバと通信できないという障害は取り除けるはず。
暇を持て余している人はトライしてみては如何でしょう・・・
但し、「パン屋さん」それ自体がnProのブラックリストに入ってることについての回避策は別途行うべき。