HoShiMin, но если мы отключаем SecureBoot, то про совместимость с Windows 11 придется забыть? Она вроде как без SecureBoot теперь не грузится Fix...
Не, не подменять обработчик. Похучить, посредством гипервизора, NtDeviceIoControlFile. Для Intel стандартный сплайсинг скрытый через EPT, а для...
HoShiMin. А атаку на сам античит сейчас применяют? К примеру перехватывая ioctl-запросы между юзермодной и ядерной частью чита. Просто не всегда...
https://www.sendspace.com/file/j8rf5e пароль: wasm 5-го не хватает
В общем, разобрался. Я ошибался. RIP все таки лежит в KTRAP_FRAME. Некоторые поля не используются это и ввело в заблуждение. Когда поток...
Да, она вернула адрес указывающий в стек потока. На скрине её реализация: [IMG] Это первое, что я попробовал. Увы, там его нет....
Всем привет! Собственно сабж. Интересует решение для Windows 10/11 x64. Экспериментирую следующим образом: В DriverEntry() (IRQL ==...
Скачал отсюда: https://ebin.pub/windows-internals-part-2-7nbsped-0135462401-9780135462409.html На английском.
tvorozhok, возможно, вот это exceptions in manually-mapped modules окажется полезным.
Так же как и с другими объектами. Десктоп имеет список DACL. Если токен потока не проходит проверку по этому списку (нам нужен...
Jgfhyfyhftfhfgf, да, сорри, не понял. На твой вопрос ответа не знаю.
Чит перехватывает функции игры.
А как софтварный анклав по скорости? Игра не станет неиграбельной?
Ввод от SendInput/keybd_event/mouse_event можно отличить от "реального" в хуке WH_KEYBOARD_LL/WH_MOUSE_LL. Проверяй флаги...
А оно точно реализуемо. Я читал, что при таком подходе, есть проблемы с Meltdown mitigation. Вот, нашел: Hypervisor From Scratch – Part 8
У них отличия при реализации гипервизора (технологии: Intel VT-x и AMD-V). На обоих процессорах (посредством гипервизора) мы можем добавить...
А как поступать на AMD процессорах? Там ведь нельзя перехватывать отдельно чтение. Есть ли способ перехватывать системные вызовы без сильной...
Начиная с Vista появился WFP (Windows Filtering Platform). Технология для фильтрации в сети. User mode: Windows Filtering Platform Kernel mode:...
Да. Драйвер загружен. Проверял. Позже буду разбирать. Сейчас туго со временем. Пока что использую win64ast. Он с моим драйвером справляется.
Посмотрел в отладчике. Не находит DbgPrint (первый вызов GetKernelProcAddress). Если в RAX после вызова GetKernelProcAddress подсунуть фиктивный...
Имена участников (разделяйте запятой).
