Нужен криптор полиморф или метаморф

UbIvItS
Насколько хватает моих знаний, обычно путь такой:
1. ищем недостатки алгоритма перехвата и обходим перехваты
2. дальше творим че хотим

 

PaCHER

если во всех процессах идёт перехват writememory || openprocess, то, конечно, дело гиблое).
maxdiver
если перехват идёт посредством драйвера ======> нужно юзать другой драйвер для вышибания фаера, что выходит за рамки поставленной задачи

 

Зачем во всех? Достаточно в SSDT )

 

W4FhLF

короче, на уровне ядра оси, если не ошибаюсь с терменологией) (дрова не прогал)

 

UbIvItS
Даже перехваты SSDT можно обойти с юзер-левела без драйверов, если эти перехваты были криво поставлены

 

maxdiver
насколько я знаю, есть 2-а способа перехвата: подмена адреса в таблице фунок или же трамплин в заголовке функи (есть ещё int 3, вроде, но он черепаха). первый способ весьма плох, т. к. никто не мешает вызвать функу по её адресу, но разве в режиме юзера можно вызывать функи ядра напрямую(???)

 

UbIvItS

вы читаете форум?

 

Нужно

Вы имеете ввиду Native API ?

 

asmlamo

функи ядра, по идее, они и есть.
t00x

если начну строкать дрова, обязательно посмотрю.
----------------------------------------------------------
хотя, вопрос я, конечно, задал аутовый): длл-ки загружаются в вызывающий их процесс, а через функи длл-ок вызываются функи ядра))

 

Ну а всё-таки кто просветит на счёт вызовов из юзермода в обход SSDT/SST? А то тут все про нативные апи говорят, хотя даже из дров мало кто пишет Nt* вместо Zw*... что уже подразумевает стаб в виде таблиц сервисов afaik.

 

*здец, я просто рыдаю)

 

Cr4sh
?