Видео видел, и сама идея понятна, но давайте, всё же, по порядку. С CFG знаком по этой статье: https://habrahabr.ru/company/dsec/blog/305960/...
Права админа есть у всех, кто будет обходить. В их распоряжении CheatEngine с драйвером и любой паблик инжектор (например, этот:...
Остаются ручной маппинг, APC, AppInit_DLLs, оконные хуки и подмена импортов. Против маппинга - искать ничейную исполняемую память (обходится...
На самом деле, про потоки я немного слукавил: хук на NtCreateThread и хук на LdrInitializeThunk решат проблему паразитных потоков (в простейшем...
Но CFG предназначен для непрямых вызовов и требует явного встраивания проверок на этапе компиляции. Если я из стороннего процесса отображаю...
Единственная найденная структура для ApiSet v4 для Win8.1 по ссылке выше и неполная, и неправильная. Нигде в интернете её не нашёл, даже в...
Читайте эту тему: https://wasm.in/threads/antiinzhekt-otlovit-smenu-konteksta.32315/
Частично согласен. Делаю действительно что-то вроде проактивки, цепляю фильтры на модули, потоки (дабы отсечь CreateRemoteThread), хук на...
Защищать приходится софт без исходников: джава, к ней в импорты цепляется дллка сразу после kernel32, ставит фильтры на потоки, каллбэки на...
Indy_ И ещё... Не подскажете, как VS определяет, пользовательская ли библиотека? [ATTACH]
Всё затем же - следить за состоянием процесса и смотреть, кто кого откуда и как импортирует (антиинжектов для). В дополнение к фильтрам потоков и...
Отвечу на свой же вопрос: https://github.com/lucasg/Dependencies/blob/master/ClrPhlib/include/ApiSet.h Определения структур для ApiSet v2, v4 и...
Добрый день форумчанам. Для сбора информации об импортах нужно получить имена всех реальных библиотек из виртуальных (api-ms-win***). Парсер писал...
Эх, обидно
Как тогда получается у ProcessHacker'a? В исходниках тот же StackWalk64, драйвер отключен [ATTACH]
Очень желательно всё сделать в юзермоде, применить любую эвристику, чтобы узнать об инжекте, будь то CreateRemoteThread(LoadLibrary), APC,...
Для антиинжекта: поставить хук на LdrLoadDll и смотреть, кто его вызвал, а также периодически проверять стактрейс потоков, чтобы отслеживать смену...
Если получать стек чужого потока, то выдаёт меньше, чем нужно (адреса верные): [ATTACH]
Доброго дня форумчанам. Пытаюсь получить стактрейс на х64 с помощью StackWalk64. На х32 всё работает, на х64 получаю стек адресов, по которым...
При попытке специализировать такую функцию: template <typename T, typename U> inline U ValToStr(const T& Value); template <typename T> inline...
Имена участников (разделяйте запятой).
