Скрытие модуля.

Тема в разделе "WASM.RESEARCH", создана пользователем Indy_, 2 янв 2017.

  1. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    1.843
    Семпл. Используется изменение выборки данных, таким образом локально модуль существует, удалённо(для ядра или другого процесса - нет). Скрытие описателя в загрузочной базе(не удаление из памяти).

    https://yadi.sk/d/aK1r0ajK36X58R vx
     
    Fail, sato, rococo795 и ещё 1-му нравится это.
  2. rococo795

    rococo795 Active Member

    Публикаций:
    0
    Регистрация:
    1 дек 2016
    Сообщения:
    259
    Спасибо...
     
  3. galenkane

    galenkane Member

    Публикаций:
    0
    Регистрация:
    13 янв 2017
    Сообщения:
    55
    Под модулем подразумевается dll? (сори за глупый вопрос)
     
  4. sato

    sato Member

    Публикаций:
    0
    Регистрация:
    15 янв 2012
    Сообщения:
    211
    LdrFindEntryForAddress - не документирована?
     
  5. RET

    RET Well-Known Member

    Публикаций:
    17
    Регистрация:
    5 янв 2008
    Сообщения:
    808
    Адрес:
    Jabber: darksys@sj.ms
    sato, вообще это натив обычный из ntdll
     
  6. Fail

    Fail Active Member

    Публикаций:
    0
    Регистрация:
    14 мар 2012
    Сообщения:
    405
    Indy_, было бы очень круто сопровождать семплы минимальным тех. описанием.
     
  7. sato

    sato Member

    Публикаций:
    0
    Регистрация:
    15 янв 2012
    Сообщения:
    211
    ну хотелось бы её описания
     
  8. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    1.843
    Fail,

    > сопровождать семплы минимальным тех. описанием.

    Посмотрите публикации.
     
    RET и Fail нравится это.