Ребят, не подскажете как можно надежно проверить не был ли снят мой перехват в ядре ? Перехваты типа : подмена адреса функции в SST и перехваты путём подмены первых нескольких байт функции (джамп вообщем). Очень надеюсь на вашу помощь Всем спасибо =)
Честно говоря не очень понимаю что это значит ? Я не настолько профи. Я просто понимаю как это работает и все Мне просо необходимо в драйвере реализовать функцию проверки хуков. И если что, сигнализировать ЮзерМоду о том что хук\и были сняты. А как проверить что хук был снят ? Может проверять те байты что я заменял при установки хука или как ? =\
Ну так, а как по другому. Ты изменил чето, так и проверяй по тайменгу, что поменял. Ну можно отлавливать сам процесс изменения, но это уже намного сложней.
Проецируеш ntos и win32k; находишь исходные SST Win32k и Ntos и сравниваеш с текущими; по ссылкам в SST сравниваеш начала функций, но лучше сами модули сравнить.
Если по таймеру проверять то возможна такая ситуация : 1) Мой драйвер проверяет хуки. Проверил. 2) Сторонний драйвер заменил своим хуком, сделал что надо, восстановил старый перехват. 3) Мой драйвер проверяет хуки. Проверил.. Ничего не найдено. Как эту ситуацию исключить ? =\
WaterGhost куда более реальная ситуация - я загружаю свое ядро и имею через него всю твою защищенную систему. и бугагагагага
Эммм... а как тогда антивирусы все ловят ? =\ Они на сколько я знаю тоже ставят хуки сплайсингом ? Или я не прав ?
