Здраствуйте. Вопрос такой. Как я понимаю касперский использует перехват API для того чтобы обнаружить внидрение длл(кста он материстя и на установку глобальной хуки) и прочую фигню. Вопорос - как перехватывает АПИ касперский? Как я понимаю скорее всего на уровне драйвера - но каким способом, а главное - как вызвать настоящую функцию?
Ладно кароче ответ понятен. Та реализовывал я перехват и дллками и на уровне драйвера. Просто лень возится - думал кто-то сходу исходник кинет ). Вобщем попробую сравнить адреса в SST с настоящими адресами функций. Пасмотрим шо получится.
Вообщем Касперский точно перемещает SDT Shadow Table. Ставит там различные перехваты и пр. Насчет обычной SDT неслыхал (перехваты там есть точно). Вроде как есть способ найти сами адреса SDT и использовать их напрямую (минуя перехват) в Хакере писали, метод действенный посмотри.
