Значит прочитал я тут http://www.wasm.ru/forum/viewtopic.php?id=28930 последний пост Magnum. Прикинул, напряг мозг. Значит открываю сисер и загружаю туда тестовый пример с физиклмемори. Трассирую, дошёл до хука NtOpenSection. Тут по тупому сравнение строк '\Device\PhysicalMemory'. Ну помню про OBJECT_ATTRIBUTES.RootDirectory. Киса сосёт буй как и её кодеры тупые. Открываем директорию '\Device' с помощью NtOpenDirectoryObject, хэндл её передаём в OBJECT_ATTRIBUTES.RootDirectory, ну а дальше как обычно открываем на чтение, изменяем дискриптор безопасности и открываем на запись, но передаём строку 'PhysicalMemory'. В общем такая сука запосил это)
Clerk Ну раз КИС, гуан, то че терпеть то его ? Взять и написать свой авер, а потом все зловреды мира заловить и научить этому свой авер. Это же хакерская задача: "Чето не нравится что-то - сделай сам!". Круто же! С другой стороны, при общении с Ms-Rem был диалог: "У меня вон вообще ниче не стоит, а все не нужное убить могу легко". Так что можно поступать также и не вякать, кто-то и что-то через жопу написал.
EvilsInterrupt Не понял смысла я. Писать - можно и написать, но нужна группа хороших кодеров, одному - не реально.
Clerk Ну смысл в том, что не надо на кого-то наезжать! Ок ? Там такие же люди, как и ты, живут они также как и ты по планам и срокам на работе, если сказали к понедельнику, то в твоем случае это увлечение и ты можешь отянуть, а им в лепешку расшибиться но сделай. А в спешке рождаются баги! Это же не группа энтузиастов, это же компания разрабатывает ! Тоже с самое и с MS Windows, там тоже сроки, также это и с FreeBSD (там тоже есть сроки !!! ) , а при сроках допустить ошибку в серьезном и болшом продукте довольно легко ! Я вот к примеру нашел уйму ситуаций, на которых валится PE-Tools, но это не значит что эта тулза гуан и Neox му...дрец ! Это достойный уважения программер, а ошибаться каждый может! А туева хуча протекторо-писателей находят уйму вещей на которых OllyDbg сумма сходит, но это же не значит что автор OllyDbg потерял свою честь. я к тому что надо формулировать мысли : "Найдена очередная багу и ее можно юзать для такой то фичи в вирусах", но в ключе который ты написал. а это : "Я нашел багу, значит продукт гуан". Первый более достойный уважения !
EvilsInterrupt Автор PE-Tools писал заявку в цих, ему однозначно всей бригадой отказали. Подобные инструменты кривые сами по себе, я посылал отчёт в одну контору создавшую знаменитый инструмент, который выносит код фильтрующий удалённые потоки изза бага в винапи))). Киса реально гуано, стоит взглянуть на его код под отладчиком. К примеру все юзают NtWriteVirtualMemory, один мембер этого форума обосновал метод, в котором описан способ безпалевной записи в процесс. Никто не вспоминал что NtMapViewOfSection допущена к использованию кисой и гибкость не уступает предыдущему сервису.
Clerk Не, я про то что делаешь символическую ссылку на, к примеру, \RPC Control и комодо (и др. некоторые) уже не палят, я на цихмсе выкладывал кодес как я извратился с битс чтоб попустить комодо фаервол. Битс взял спецом чтоб было совсем отстойно
tylerdurden Просто кодеры создавшие кису не знали про стандартный системный механизм, чему я сильно удивлён.
А в основном делают как "ответ" на существующие технологии, просто так им работать лень А еще потом брызгают слюной мол непрофисионалы запрещают им парсить диск, "фи как по-детски"
Чорт, Клерка, можно подумать, что цих мерило "чего-то там", и не дай эээ... не скрути яйца туда не попасть, иначе ппц, недостоин жить и можно в могилу
nester7, считаете там сидят люди которые не могут отличить нормального кодера от скамерса и кул-хацкера? кстате клерк поначалу тож с улыбкой отнесся к проэкту. blast, намек? помоему открытым текстом сказанно да и ни токо о NtMapViewOfSection
