Это сложо? Есть примеры? Бррр. Слово "создать" три раза подряд. Не понял кто кого создает. P.S. кстати, черм АРС принципиально хуже для инжекта?...
Вобщем с LoadLibrary все стало понятно (спасибо SlyBit). Достаточно убрать манифест из загружаемого dll. Но проблема с CreateProcess остается...
Обнаружил еще один интересный момент: LoadLibrary библиотеки из windows/system32 работает. Пытаюсь поковырять манифесты... P.S. еще обнаружил,...
А можно ли как нибудь "нейтрализовать" это обращение? Нужно определить собственный манифест?
SlyBit Может у тебя поток, созданный из ядра, загружает библиотеку которая уже присутствует в контексте процесса? В такой ситуации LoadLibrary...
не понял, что манифест решает?
Странно, а поток создан из ядра?
Моя dll сама по себе никаких CsrClientCallServer не вызывает. Более того сейчас это просто пустышка в которой DllMain всегда возвращает TRUE....
Нет. Цель - из ядра загрузить в контекст процесса свою собственную dll. Т.е. идея примерно такая: 1. В памяти процесса создать регион, скопировать...
А как же жить? :) В смысле, как притащить свою dll'ку в такой ситуации?
Обнаружил странное поведение потока запущенного в user mode из драйвера через RtlCreateUserThread (или создание контекста потока вручную плюс...
Great steelfactor Кашерно! Еще и как! Спасибо.
Как можно вызвать непосредственно неэкспортированную Zw* функцию, с известным SDT вектором так, чтоб вызов прошел через KiSystemService? Нужно...
Еще один момент. В качестве отправной точки пытаюсь вызвать RtlCreateUserThread (адрес подсмотрел в IDA). Вызов происходит в обработчике...
Не всегда есть это приложение из которого драйвер загрузился.
Касперский снимается gmer'ом в 10 секунд.
Какие можно посмотреть приложения с действительно развитой самозащитой против удаления/модификации файлов, манипуляций над процессами, регистром,...
Понравилась идея! Только один вопрос - как из драйвера найти таблицу импорта?
Clear_Energy Вот это я и называю "общее бла бла бла" :) То есть например не понятно как это интегрируется с операционной системой. Можно ли...
Тема сугубо флеймовая, поэтому в Heap. Может кто пробовал это ТХТ. Как он на вкус? Кроме общего бла бла бла не могу понять зачем эта технология...
Имена участников (разделяйте запятой).
