Ещё* тут Крис Касперски на русском механизм работы объясняет понятно - http://www.insidepro.com/kk/163/163r.shtml
Ага, оно самое, в закладке было :) Ещё Сейчас рассматриваю варианты обходя PatchGuard для нахождения наиболее приемлимого.
x64 Windows XP SP3 x86. Сейчас рассматриваю варианты обходя PatchGuard для нахождения наиболее приемлимого. Я забыл, что он контролит целостность...
Ха-ха. Юзермодной либой в ядре?) Ну-ну. А может мелкомякие уже придумали либу для сплайса в ядре обходя свою же защиту PatchGuard? Бугага, сначала...
Так модифицировать-то загрузчик придётся, а надо динамически и ближе всего так сказать к "легальному", а не руткиту.
Да согласен задурили просто мне некоторые люди голову :) Сейчас хорошенько подумал и вспомнил про применение PG: * Таблица глобальных...
x64 PageGuard насколько я знаю актуален для дров пытающихся теневую таблицу похукать и к сплайсингу он не должен иметь никакого отношения. Он...
Решил я написать дров для хука чего-нибудь, т.е. просто заготовку на все случаи жизни. Покопался я в тырнете и пришёл к выводу, что на данный...
Лучше бы статейку по грамотному сплайсу в режиме ядра с учётом специфики последних ОС накидал.
Подскажите правильную маску для х64 чтобы сбросить WP bit. Сейчас юзаю 0xFFFEFFFF - не знаю верно ли.
JCronuz Спасибо.
Пошерстил все эти исходники - код очень неполный, многих использующихся функций не хватает. На данный момент интересует реализация...
Вот это баянище на 5 стр. развели - и всё равно вывод будет что идеальной защиты не бывает и любую можно обойти. Как пример написав свой дров...
З.Ы. Тестовая запись была как: ... Log("Status for smth is %X %s\n", st, "LOL!"); ...
Правда?) Ну прям чудеса какие-то... Делаем-с так для теста: //#define DBG #ifdef DBG #define Log DbgPrint #else #define Log #endif Всё прекрасно...
Лоадер статически привязанный к одному ImageBase есть Г.
Так всем ведь код нужен как это правильно сделать ;)
Может кому-то понадобится, в процесс написания дрова в VS C++ 2008 было выявлено, что в DDK начиная с NT версии нету DWORD, поэтому юзать надо...
JCronuz Из r0?)
Cr4sh Спасибо за полезные исходники - давно искал как динамически узнавать номер сервиса.
Имена участников (разделяйте запятой).
