Надо хукнуть функцию sendto из ws2_32.dll для получения передаваемого буфера в сеть. Решил реализовать через перехват сервисов. Мой ZwMonitor...
Folk Acid, я не своё тело защищаю, а чужое.. :)
Clerk, не совсем понял :) Речь не антихуковских трюках.. если я правильно понял тебя.. А о том что, есть по статистическому адресу 01D60127h -...
Есть программа которую надо защитить. У этой программы по конкретному адресу в памяти надо не дать чужим программам менять "jl" на "jmp". Как это...
Имя компа из реестра берет: \Registry\Machine\System\CurrentControlSet\Control\ComputerName И IP кажись.. Да и что мешает юзать какой-нить api...
Он определяет через ZwDeviceIoControlFile c кодом IOCTL_TCP_REQUEST_QUERY_INFORMATION.
Спасибо господа, это то что нужно.. Clerk, угумс, как обычно.., защита, защита и еще раз защита ;)
Нашел в инете несколько проц-менеджеров которые умеют это делать, даже спец утилиту.. CmdLine в аттаче. Собственно сабж, не подскажите как они...
А Если попробовать вот так: 1) получить TEB процесса, перебрать все LDR модули, и найти нужный 2) суспендить либо полностью процесс, либо все...
max7C4, чтобы прятать чужое окно от идентификации...
Почему-то в винде есть GetClassName a SetClassName нету. Собственно сабж, как это реализовать ? И вообще, реализуемо-ли это?
Кажется вот так: mov edi,offset AnsiBuffer mov esi,offset Massiv mov ecx,MassivSize @@: mov al,[esi] mov byte...
Эх.., так не кто и не сказал вышеуказанная прогулька заставляет падать rku или нет? :( У меня лично падает с треском при проверке этого файла :)
У Всех при скане этого файла во вкладке Code Hook - rku падает? :)
Magnum, я так понял скрыть без спомогательной проги некак ? Т.е. надо словить во всей системе чтение того кармического либа, и подменять там данные?
Не совсем понимаю как он определяет что та или иная функция хукана... Объясните плиз, и за одно, какими трюками моно сделать вид что функция вовсе...
Тоже очень интересует этот вопрос. Можно наиграться с атрибутами памяти, но это давольно легко обходится.. Есть одна идея (не моя), - выделить под...
Как вообще возможно через сервер редиректить траф, и при этом не передавать через сервер? :)
Небеда, чекать функции ZwCreateFile\ZwOpenFile на флаги "DELETE + SYNCHRONIZE", или на "FILE_SHARE_DELETE" если нашли, добавляем туды...
Я чет не понимаю.. Разве ZwDeleteFile не юзается для удаления директорий? А для файлов - ZwSetInformationFile с mov...
Имена участников (разделяйте запятой).
