catch me, или игра в прятки

[deleted]

 

да, это интересно конечто, однако я не совсем понимаю как все это может происходить...
возможжно не обязательно делить на ищущую и прячуюся сторону
интересней еслиб они обе искали друг друга и пытались вывести из строя

 

[deleted]

 

наверное надо быть чертовски крутым мэном для подобных игр...

 

надо признать ваш вариант после пятого прочтения мне стал более понятным. Осталась пара вопросов
- почему нельзя скрывающемуся процессу инжектится?
- кто из них запустится первым (логичней былоб скрывающемуся процессу оставить эту привилегию)
- как узнать о попеде скрываемой стороны?

 

Наверное по таймауту, например в минуту.

Потому что после инжекта, процесса как такого нет.

 

[deleted]

 

Зачем 4ый пункт про перехват? Хотя в принципе можно и без этого обойтись =)
Я так понял драйвера не запрещаются, а даже приветствуются?

 

[deleted]

 

У меня есть пара идей, сёдня/завтра предаставлю детектор =)
Только разберусь как драйвера писать

 

а зачем эта игра на публику? ставьте себе файр волл и играйте. сдается мне у кого то кризис идей. или же это развод антивируснегов =)

 

[deleted]

 

выложи куда нить криме рапиды, а то я через проксик сижу, где ещё куча народа, и рапида постоянно занята.

 

присоединяюсь,можно на другую шару переложить ?

 

Блин, полдня убил на изучение работы планировщика. Но всё таки разобрался где хранятся очереди процессов и потоков. Придумал как их получить. Решил посмотреть сорце klistera, автор как раз использует такие же методы, правда там адреса структур жестко заданы для 3х версий Win2k SP2-4. Решил посмотреть мож кто нибудь смог обойти и нашёл статью 90210 с его phide2, обнаружить его практически нереально =(
Короче разонравилась мне идея с руткитдетектором

 

ладно пох напищу апгрейженную версию клистера, потом думать будем =)

 

[deleted]

 

PE386
что то не догоняю, что мешает перехватить SwapContext ...

 

ещё бы пароль от архива сказал =)
upd: а всё не надо =), думал пароль более сложный типа www.wasm.ru

 

[deleted]