x64 и kernel-хуки

Тема в разделе "WASM.NT.KERNEL", создана пользователем Yrees, 19 дек 2011.

  1. kejcerfcrv

    kejcerfcrv New Member

    Публикаций:
    0
    Регистрация:
    16 дек 2011
    Сообщения:
    320
    x64
    То вы на рсдн утверждаете что лпк не годно, ибо этой подсистемы нет в вашей документации, потом вы предлагаете юзать извраты типо апк для инжекта, если есть годный PostProcessInitRoutine, юзать колстек вам религия не позволяет(когда то обсуждали с вами сие).. У аверов это наверно стало нормой использовать всякие кривые способы. Так же и патчгвард - это защита и вы предлагаете её отключать чтобы портить ядро, это не приемлемо!
     
  2. qwe8013

    qwe8013 New Member

    Публикаций:
    0
    Регистрация:
    28 май 2009
    Сообщения:
    198
    T800
    У Yrees в первом посте написано ZwQueryProcessInformation, вот я и решил, что нужно ограничить права доступа к процессу.
    А если надо скрыть процесс от ZwQuerySystemInformation, то если я правильно помню в ядре есть двусвязный список процессов, из которого нужно удалить соответствующий элемент.
     
  3. x64

    x64 New Member

    Публикаций:
    0
    Регистрация:
    29 июл 2008
    Сообщения:
    1.370
    Адрес:
    Россия
    APC есть неотъемлемая часть архитектуры NT и эта часть худо-бедно документирована и поддерживается, LPC и т.п. - нет.

    Не помню, чтобы я кому-то предлагал отключать PG, но я по-прежнему придерживаюсь мнения, что если нельзя, но других вариантов нет, то можно.
     
  4. Person

    Person Hugh Person

    Публикаций:
    0
    Регистрация:
    29 июн 2011
    Сообщения:
    23
    Если загрузится достаточно рано (до инициализации патчгарда), то можно хукать что угодно, патчгард сам будет оберегать ваши хуки...
     
  5. x64

    x64 New Member

    Публикаций:
    0
    Регистрация:
    29 июл 2008
    Сообщения:
    1.370
    Адрес:
    Россия
    Таки да.