Как восстановить SSDT в Vista/W7, если PatchGuard не дает ничего сделать через \Device\PhysicalMemory, но при этом утилита HideToolZ 2.2 успешно делает подмены в sSDT? просветите великий народ.
хорошо. тогда более осмысленный вопрос - как снять хуки HideToolZ 2.2 в Windows Vista? в частности хуки на NtQuerySystemInformation и NtOpenProcess?
да. что собственно и делаю, но ожидаемого результата нет используя гугл узнал что в Висте есть защита ядра "PatchGuard" которая препятствует таким манипуляциям. вот грешным делом и подумал на неё. и как следствие обратился к госу wasm.ru за помощью. на XP, 2003 все работает отлично. таблица восстанавливалась. а на Висте ну никак. исходники (на delphi) положил суда http://www.mediafire.com/download.php?m2mtjm1dc4m ткнете носом что не так в них. пожалуйста.
А, запрет доступа к "\Device\PhysicalMemory" из третьего кольца – это не есть PatchGuard. Это просто запрет доступа к "\Device\PhysicalMemory" из третьего кольца, причём не через DACL. Один может использовать драйвер.
Почитал бы сперва что такое PatchGuard и где он есть, а есть он только на 64 битных системах HideToolz ну никак там работать неможет плюс на 64 битных системах должен быть подписан драйвер это как минимум надо следать тестовую сигнатуру + включить т.н. "Test mode". гугул + поиск по форуму. Присойденяюсь к n0name
В добавок This is version 2.2 of HideToolz. Version 2.1 did not work on Windows Vista SP1 or higher. I have modified the device driver so HideToolz now works on Vista SP1 through Windows 7. 06.12.09: updated for Windows 7 build: 7100 -Fyyre - - - HideToolz is a configurable GUI based utilility that allows hiding of RCE tools from annoying detection (such as Themida). It does so by kernel mode driver which hooks functions such as NtQueryInformationProcess, NtSetContextThread, NtQuerySystemInformation, NtOpenProcess, NtOpenThread, etc... allowing you to debug 'protected' applications easily. Features include: Hide Processes Protect Processes Hide Windows Protection from Windows hooks Emulation of partent process (sets parent pid of target PID to explorer.exe). Anti-Anti debug features. Runs very stable under Windows XP through Windows 7 (x86 only). Please be aware some anti-virus detections HideToolz driver as a rootkit - this is basically correct, except HideToolz contains no payload, does not access any network api, etc... if you doubt, disasm the driver yourself.
