Доступ к памяти чужого процесса

ну дак а что мешает. прочитай пост #19

 

Ну если не палит KIS не значит что не палят остальные. Если конечно борешься конкретно с KIS, то отлично.

 

n0name
Не могу понять логику твоих суждений. Хроршо расскажу все и сразу .
Вообщем, KIS со своей проактивкой заколустал. Он ставит хуки на: CreateRempteThread, SetThreadContext. Ладно... Вопрос с запуском моего кода я решил. Осталось только записать в память процесса свой код. Так вот. "Свой код" - мне необходимо записывать именно в определенное место, уж так получаеться. Поэтому способ с мэппингом не катит.

Возможно есть ккакие-то еще способы в обход проактивки KIS'a в юзермоде, но я их не знаю, если знаете поделитесь.

 

set
Базонезависимый код надо писать.

 

Определенность в памяти не из-за кода.

 

Хм. ну тогда скажи из-за чего Может что и подскажут.

 

Решил сделать хук юзермодный не палящийся проактивкой.
Вообщем, решил так: раз CreateRemoteThread, SetThreadContext - паляться, а GetThreadContext нет, то делаю следующее -суспендю поток, получаю его контекст, смотрю EIP и пишу по этому адресу свой код, предварительно сохранив настоящий код. Режюмю поток и выполняеться мой код, с востановлением настоящего кода и т.п.

Т.е. определенность в памяти это - EIP.

 

set
Что-то похожее предлагалось на rootkits.com

 

set
и как номально получаеться? Всё работает?

 

set
А как код пишишь?

 

Ну, если работает, жди фикс в след. версии.

 

W4FhLF
и что они пофиксят? взятие контекста?

у меня стоит 7 Каспер в Висте он и на установку контекста не ругаеться.

 

set
на аутпосте тестил? Вроде Мс-Рем писал что более 16 записаных байт и усё.

А без установки контекста никак не сделать загрузчик на 16 байт.

 

dead_body
дык у него в записи кода и не работает. Он и спрашиваеь как безпалевно записать.

 

Инжекть APC, а потом CreateRemoteThread (RtlCreateUserThread в висте, в не-висте ею можно запускать только код заканчивающийся ExitThread и ее аналогами) на NtTestAlert...

А не стой, поток то будет другой Создай саспендед, потом вставь APС потом резюм (во изврат )

 

Правильно. На функцию взятия контекста проактивка не ругаеться(и на суспенд/режум тоже все отлично). Естесвенно работает отлично. За исключением WriteProcessMemory, которую и надо реализовать беспалевно. Если это сделать, то метод будет беспалевный полностью из юзермода.

 

И это есди пользоваться WriteProcessMemory. Сущуствует другие способы записи в процесс.
На установку контекста проактивка КИС6.0 ругаеться, а вот на получение нет. Также как на WriteProcessMemory - ругаеться, а на ReadProcess... нет.

 

а страницы на которые запись идёт имеют атрибут какой? Исполняемый? Или он запрещает писать и в страницы не исполняемые?

tylerdurden
могешь немного подробней или ссыль.

 

А какая разница-то? Хук Касперским стоит и он не смотрит на права кода, просто выдает сообщение "процес... попытка внедриться в..".

 

dead_body
QueueUserAPC наверное имеется в виду.