У амд тоже есть поддержка LBR, как раз из свежего мануала узнал об этом. Сколько ветвей попадает в лог - это вопрос, надо будет посмотреть в ядре....
Аппаратная фича, которая записывает адреса ветвлений в msr. А еще эта фича раскрывает ядерный адрес KiSystemServiceExit даже из low il, и это на...
Генерик решения может и нет, но можно искать баги в эмулях. Вчера случайно наткнулся, vmware не эмулит LBR, это сразу детект.
PROCESS_CREATE_PROCESS должно хватить.
На 10 можно сделать следующим образом, может и на хрюше сработает: 1. Получить SeDebugPrivilege привилегии 2. Получить хэндл системного процесса...
Читаю, но пока все плохо с пониманием темы. Т.е отслеживается передача управления куда-либо (в ядро например) и в этот момент происходит подмена...
Все равно не понимаю. Как визор работающий в юм, может подменить данные для античита работающего в км? Вот например часть ядерной защиты:...
Это один из возможных вариантов, поиск логических ошибок и недостатков архитектуры в самой защите. Некоторые античиты считают вообще все...
Не так выразился, с сигнатурным детектом все понятно, я имел ввиду сканер основанный на поведенческом анализе. Визор сам по себе является...
Хотя эти действия однозначно сокращают поверхность атаки и делают разработку дороже, пока ничего подобного античиты не проверяют. В таком случае...
Главное не забыть восстановить управление. Можно просто перехватить NtContinue, сохранить оригинальный контекст, вызвать дллмейн и далее...
Попробуйте отключить SMEP/SMAP для начала, хотя не уверен что это поможет, ибо пользовательский код должен выполняться на другом уровне...
http://www.codewarrior.cn/ntdoc/wrk/mm/MiLocateAddress.htm Смещения можно извлечь из pdb.
Вот и я об этом.. Мощный инструмент для обхода локальной юзермодной защиты, но с удаленной ничего сделать нельзя. Нужно спрятать сам визор от...
Если я правильно понимаю, то визор выполняет функцию прокси, а значит должен находиться в адресном пространстве игры, что уже является нарушением...
А как скрыть сам факт присутствия визора? Защите без разницы визор это, чит или что-то еще, для него это все еще подозрительный кусок...
В блэклист заносят сертификат, которым подписан драйвер.
Ни одна современная ось не позволит делать что-либо бесследно. ReadProcessMemory логируется на уровне ядра и требует активный дескриптор процесса...
Тоже ищу. И EWDK win10 TH1-RS1 пригодились бы..
Раз уж тема такая зашла, спрошу.. Аналогичный вопрос, только про ядро, конкретно интересуют любые переходы к динамически выделяемой памяти...
Имена участников (разделяйте запятой).
