Hook engine Движок для перехвата функций. Подойдет как для ring3 перехватов, так и для ring0. Проблемы могут возникнуть при копировании call в тело функции, но я думаю этого не будет. Функции аллока и освобождения памяти намеренно убраны, т.к. для разных ring свои функции аллока памяти. Работает так: дизассемблирует начальный код функции, и копирует в буфер столько кода, чтобы заместо него поместился call. После копирования, начало функции заменяется на call <> + nop для добивки остатков....

Вам может быть интересно, чего ожидать от книги, посвященной IDA Pro. Хотя эта книга явно ориентирована на IDA, она не предназначена для того, чтобы воспринимать её как Руководство пользователя IDA Pro. Вместо этого мы намерены использовать IDA в качестве вспомогательного инструмента для обсуждения методов реверс инжиниринга, которые вы найдете полезными при анализе широкого спектра программного обеспечения, от уязвимых приложений до вредоносных программ. При необходимости мы предоставим...

Cogitations poenam nemo patitur (лат.) Никто не несет наказания за мысли ©2009 Активная антиотладка и антиинжект Проекты в конце статьи – под Microsoft Visual Studio. Разговор далее пойдет только о Ring3. Недавно (2014 год) работая над написанием плагина под Sysinternals Process Explorer, случайно столкнулся с функцией RtlQueryProcessDebugInformation из ntdll.dll, которая оказывается использует удаленные потоки для получения информации о стороннем процессе, закидывая свой шелл код в...

Cogitations poenam nemo patitur (лат.) Никто не несет наказания за мысли Gott spielt keine Würfel (c) Einstein! MD5: d0558134ba9db6d134e639d0e1ebb008 Чекеры и их место в жизни Малварьщика (краткий обзор "на коленке") Каждый уважающий себя малварьщик и крипотвальщик знаком с таким словом как checker . если вас заинтересовала разработка Малварей, вы должны и уметь где-то их тестировать, а чекеры предоставят вам эту возможость. 1.scanmybin.net - этот сервис хорош тем, что...

Cogitations poenam nemo patitur (лат.) Никто не несет наказания за мысли Да будет использован синтаксис ассемблера и чистого Си! (c) MD5: d0558134ba9db6d134e639d0e1ebb008 Начинаем становится сискодером Или по простому - системным программистом Приложение 1 к "VX начала " (c) MD5: d0558134ba9db6d134e639d0e1ebb008 часть 1 Итак мы уже считаем себя сискодером, уяснили что между ядром и режимом пользователя Рассматривать нативные функции можно здесь – отличие от Win API огромно, но несет для...

Просто гайд о том, как правильно ставить, активировать и настраивать Windows 10 и Office. На создание вдохновили труды rk2019 над сборками Windows XP. Тема этого гайда не совсем по профилю форума, но для кого-то может оказаться полезной. 1. Скачиваем образ. Никаких варезников, торрентов и модифицированных сборок, качаем лицензионный *.iso с официального сайта. https://www.microsoft.com/ru-ru/software-download/windows10 Нам нужен *.iso, а сайт предлагает средство обновления. Заходим в...

В прошлой части мы получили теоретическую базу по принципам настройки гипервизора и EPT. Применим их на практике. В первой части мы написали шаблон драйвера и заготовку для виртуализации всех процессоров - функцию VirtualizeAllProcessors. Код виртуализации будет необходимо выполнить на всех процессорах и это легко сделать через генерацию межпроцессорного прерывания функцией KeIpiGenericCall. Каждый логический процессор выполнит код, переводящий его в режим виртуализации, и продолжит свою...

Здравствуйте, друзья, мы с вами продолжаем исследовать возможности мета-программирования различных высокоуровневых языков в одной единственной прикладной сфере - обфускации. На этот раз мы рассмотрим язык программирования Nim - модный, молодежный, немного питонный, немного паскальный язык, который позиционируется как альтернатива C++. Насколько дизайн и реализация языка Nim удачны - вопрос спорный, но нас как бы это не особо то и интересует. Нас интересуют только весьма богатые возможности...