1. Защита функции от перехвата. 2. Борьба с отладчиками

garsi
Допустим юзаете вы функцию ReadFile(), заховали её. Проверяете например чтобы небыла изменена, допустим даже обобо извратились - отморфили её с файла на диске в память и оттуда вызываете. Но винапи это только обёртка вокруг ядерных сервисов. Зачем например мне нужна эта апи, если в ядре я посмотрю как и для чего она юзается. С этим бесполезно бороться. Если ктото решит всковырнуть ваше приложение, то в серьёзном случае это не просто отладчик, куча плагинов и утилит, там есчо компилятор участвует активно, всё будет весьма быстро вскрыто.

 

Clerk
Я так не думаю, дизасмить дело одно, вызовы функций всегда известны.. в ring-0 я могу так же и восстановить первоначальный адрес в SDT вызываемой функции. И никакой перехват не поможет. вся проблема ложиться на написание драйвера, под управлением которго будет осуществляться вся эта канитель.) Защита не подразумевает за собой, того, что все было тщетно и железно на 100%.. Такого не бывает, что нелзя что то сломать, я так думаю, но защита, - в первую очередь это усложнение кодинга, криптухи всякие, и с вызовами тоже надо работать, тогда будет по максимому.. Но в ring-0, я очень плохо знаю эту архитектуру, поэтому пока все мои тести, проваливаются и BSOD. А смотрю по примерам MS-REM-а. У него некоторые для ring-0 нормально работают, а некоторые падают.

 

garsi
сст это детские забавы, с неё можно извращаться как угодно, восстанавливать локально, эмулировать, трассировать и пр.
На примерах Эмси Рема вы ни к чему не придёте. Сейчас совсем другие взгляды и решения.

 

Clerk
У меня был достаточный перерыв в более чем 2 года. Я возможно в плане технологий немного отстал, Clerk, вот мне интересно.
>>Сейчас совсем другие взгляды и решения.
Поделитесь, о чем идет речь, уж очень интересно!