1. Если вы только начинаете программировать на ассемблере и не знаете с чего начать, тогда попробуйте среду разработки ASM Visual IDE
    (c) на правах рекламы
    Скрыть объявление

Антиинжект

Дата публикации 29 мар 2018 | Редактировалось 29 мар 2018
Установка/снятие данной защиты осуществляется с правами Администратора.
Защита начинает работать только после перезагрузки.
Это тестовая версия.
Совместимость: Windows XP (все SP)
Windows Server2003, проверялась на PIV с HT и NX.
Никаких потерь производительности и расходов памяти в систему не вносится.
В Ваши и вновь создаваемые процессы никакой код не внедряется,
никаких драйверов не устанавливается, системные файлы не изменяются.
Разработано в 2008г по своей оригинальной технологии, до сих пор
не встречавшейся в сети. Решил опубликовать т.к. была возможность
протестировать на вышеуказанных "чистых" лицензионных ОС.
К сожалению "по-бедности своей" на ОС Vista и Windows7b,
протестировать данное ПО так и не удалось.
При разработке применены минимальные stealth- технологии, но так что
работа незаметна как для пользователя так и для самого вредоносного ПО
(Попытка инжекта удаленным потоком в csrss, просто "тихо обламывается").
Представленное программное обеспечение не предусматривает никаких
гарантий. Автор не несет ни прямой ни косвенной ответственности за
правильное или не правильное использование данного ПО. Если хотите-
используйте данное ПО на свой страх и риск.
Совместно с антивирусами не проверялась, т.к. я их не использую.
Проверить невозможность инжекта, например можно скачав мой плагин к
Sysintermnals Process Explorer
файл прилагаю:
https://www.sendspace.com/file/zd6h2j
Password: CnkoqD4QvxSIT
Сорцы тоже

Вложения:

  • xinstaller.7z
    Размер файла:
    6,6 КБ
    Просмотров:
    127
  • FireWall.7z
    Размер файла:
    284,5 КБ
    Просмотров:
    142

2 1.682
RET

RET
Well-Known Member

Регистрация:
5 янв 2008
Публикаций:
17

Комментарии


      1. Indy_ 26 июн 2018
        Что бы узнать что поток создан из текущего процесса нужно при событии создания его пометить и проверить далее при любой общей активности для тредов, для этого не нужно ничего патчить. А можно есчо просто спросить систему про PID родителя. Но потоки удалённые может создавать и сама система.
      2. RET 29 мар 2018
        yashechka нравится это.