Ловлю KiUserExceptionDispatcher через InstallExceptionDispatcher и указываю на обработчик VectoredHandler. Ловлю KiFastSystemCall через...
Clerk, спасибо, попробую разобраться :)
Еще маленький вопросик.. А как убрать или закрыть хендл оттуда? invoke ZwClose,SYSTEM_HANDLE_INFORMATION.Handle Непрокатило..
1) Реализация метода установки Alertable в FALSE. Хукаем ZwDelayExecution, ZwWaitForSingleObject, ZwSignalAndWaitForSingleObject,...
Ну я вить уже написал :) Обе прилажения мои, и 1 - где KiUserApcDispatcher стоит, и 2 - инжектор, раелизованный через...
blast, стоит защита от внедрения удаленных потоков, реализовано через KiUserApcDispatcher. От apc инжекта не спасает. Моно чуть подробней как...
Токо что тестил, вроди работает.. Если выполняется условие: Делаю дубликат хендла, и вызываю ZwQueryInformationProcess по этому хендлу с...
Great, и что искать ? SYSTEM_HANDLE_INFORMATION struct ProcessId ULONG ? ObjectTypeNumber UCHAR ? Flags UCHAR ? Handle USHORT ? Object...
Есть программа, которая ставит sdt хуки на ZwQuerySystemInformation\ZwOpenProcess, и таким способом скрывает свой процесс + запрет открытия этого...
promtpol, маршрутизатор = шлюз?
Counter-Strike 1.6 Cossacks - Back To War Великие игры своего жанра :)
Aids, поиск по форуму рулит.. Я создавал аналогичный топик, и там много полезных постов..
Странные вы люди.. В 8 случиях из 10 вы постуйтесь ради понта и выпендреша друг перед другом не неся никакой полезной и доступной инфы для...
У меня нет проактивки :)
Недавно наткнулся на аналогичную на rku утилиту NIAP Xray System, неплохая вещ..
Clerk, вероятных точек сплайсинга через чур много, поэтому нуны более универсальные методы. Еще была идея в самом начале получить чексум модуля в...
Clerk, та большинство хукеров на дельфи пишут.. Думаю - ввиде доп.защиты вполне сгодится.. :)
Clerk, похоже из за этого mov ecx,THREAD_BASIC_INFORMATION.TebBaseAddress[esp] ;PTEB mov edx,TEB_REMOTE_SIGNATURE lock cmpxchg dword ptr...
Clerk KiFastSystemCall -> ZwProtectVirtualMemory проверка mov eax,(второй параметор) mov eax,dword ptr [eax]...
А.. точно :) Так все-же откуда надежнее брать инфу ?
Имена участников (разделяйте запятой).
