Мощная штука! Проверил парочку км-инжекторов, ни один не справился.
Да фигня эти все крипторы, давно уже известно, что если софт поганый, то его ни один криптор/пакер/обфускатор итд итп не спасет от опытных ручек...
Тогда уж сразу в ntoskrnl.exe это все пихать. На сколько я знаю это безопасно на данный момент.
На сколько я знаю PG руки связал и аверам в том числе, но и в замен m$ дали парочку новых механизмов. Но все же, мне кажется что-то тут не так!...
Но ведь легальные приложения просто не используют подобные техники, особенно pe-инжекты, которые уже лет 10 обсасывают на каждом blackhat и прочих...
C 1 все понятно.. Действительно, аверы ведь далеко не у всех установлены, винда не у всех обновленная.. Больше интересна позиция аверов. Давно же...
Возьмем MmGetSystemRoutineAddress к примеру: ; MmGetSystemRoutineAddress ; ----> RtlUnicodeStringToAnsiString ; ------------> ... ; ---->...
Благодарю. Оказывается не все так просто... Я почему-то был убежден в том, что существует множество готовых решений на любой вкус и цвет как...
Сабж. Почему? Казалось бы, 2019 год, windows 10, доступа к ядру давно нет, у аверов минифильтры, обратные вызовы на любой вкус, плюшки в виде...
Для юзермода тоже интересует. Хотя бы буду знать куда копать. Может и опенсурсное что-нибудь есть? Windbg тоже не особо приятно лишний раз...
Не хватило у меня знаний разобраться с получением базового адреса ядра без вызовов апи. Итог: импорт с указателем на PsLoadedModuleList. Тред...
Добрый день, совершенно нубский вопрос. Нужна программа, которая отображает цепочку вызовов внутри определенного ядерного апи. Понятное дело, что...
Вы имеете ввиду KeGetPcr? Либо бсод во время вызова функции, либо неверные данные.. Есть примеры? Или почитать чего можно? С экспортом вроде...
Добрый день, пытаюсь ради спортивного интереса написать драйвер без таблицы импорта. Знаю что с помощью MmGetSystemRoutineAddress можно...
Имена участников (разделяйте запятой).
