залочить NtOpenProcess

Тема в разделе "WASM.X64", создана пользователем sn0w, 19 авг 2019.

  1. sn0w

    sn0w Active Member

    Публикаций:
    0
    Регистрация:
    27 фев 2010
    Сообщения:
    956
    на вин 8.1; 10 64битных.

    господа, посоветуйте шонить. надо шобы одно узермод приложение не могло в NtOpenProcess в отношении другого приложения.
    хукать NtOpenProcess ни трамплином ни выставлять бряки в DR с использованием veh/хука KiUserExceptionDispatcher в приложении, которое хочет открыть другой процесс не вариант.
    как бы надо так чтобы вообще его не трогать.
    есть ли вариант из ядра? SSDT ясен пень не проканает изза патчгварда.

    шото химичат на визорах слышал, в плане отлова и отключения патчгварда, но инфа скудна.
    --- Сообщение объединено, 19 авг 2019 ---
    вроде нашол шо надо

    Features, all PG-compatible:
    Syscall hooks via MSR_LSTAR
    Kernel inline hooks
    Kernel page substitution
    Kernel page EPT TLB splitting
    MSR hooks
    IDT hooks

    кому интересно github.com/DarthTon/HyperBone
     
  2. hiddy

    hiddy Member

    Публикаций:
    0
    Регистрация:
    10 мар 2019
    Сообщения:
    82
    Не в ту сторону немного занесло. Есть документированный способ сделать это. Реализацию можно подсмотреть у HoShiMin'a вот здесь.
     
  3. sn0w

    sn0w Active Member

    Публикаций:
    0
    Регистрация:
    27 фев 2010
    Сообщения:
    956
    шьёрт, совсем про них забыл. посмотрим что больше подойдёт.