С помощю PsSetLoadImageNotifyRoutine можно повесить callback вызываемый при загрузке dll в контекст процесса. А можно ли сделать "фильтрацию"...
Для x86 есть полно библиотек для хукинга функций экспортируемых из dll (например я исползую madCHook). Может ли кто посоветовать что нибудь для...
Хочу скомпилировать аппликацию на С++ под х64. Не могу найти какие дополнения нужно скачать для Visual Studio 2005? В configuration manager->new...
Есть очень удобный способ отладки кода который часто падает, блюскринит, и т.п.: запускаем код под vmware, подключаемся с удаленным отладчиком и...
Столкнулся с интересной пробелемой: положим есть два драйвера хукающие некую функцию в SSDT: А (антивирус) и R (rootkit). Драйверы абсолютно...
Использую remote debugger, подключаясь к удаленному компьютеру из Visual Studio. Делаю attach to process. А можно ли как нить начать отладку...
Играюсь с драйвером kbfiltr из DDK (он подключается к стеку клавиатуры и использует IOCTL_INTERNAL_I8042_HOOK_KEYBOARD для установки своего...
Вроде совершенно простой вопрос - но никак не могу найти ответ. Как (если конечно это вообще возможно) определить состояние NumLock находясь в...
Можно ли сделать часть кода драйвера "невыгружаемой", т.е., после даже после того как весь драйвер сброшен, чтоб эта часть осталась в памяти?...
Скажите, есть ли в API ядра способ получть из HANDLE некого обьекта (созданного, например, через ZwCreateFile или ZwOpenKey) полное имя объекта?
Посоветуйте, пожалуйста, хороший комерческий обфускатор (крипотор/виртуализатор). Цена особого значения не имеет.
Добавляю фильтр через регитр: 1. HKLM\SYSTEM\CurrentControlSet\Services\my_driver 2. HKLM\SYSTEM\CurrentControlSet\Control\Class\{...}]...
Допустим есть простейший кейлоггер инсталируемый через SetWindowsHookEx(WH_KEYBOARD_LL, ...). Как можно сделать так, чтоб каждая нажатая клавиша...
Знает ли кто как найти соответствие между хендлером wininet HINTERNET (созданным через InternetOpen) и обьектом IWebBrowser который работает через...
А можно ли как-то загрузить в IDA сразу несколько dll для анализа? Сейчас я открываю неколько копий IDA - не слишком удобно ...
Можно ли как нить "спрятать" драйвер, так чтоб его не было в списке установленных драйверов, чтоб его нельзя было тривиальнум образом остановить и...
Эта тема является продолжением http://www.wasm.ru/forum/viewtopic.php?id=21416. Решил создать новую тему, потому, что нельзя изменить название...
Помогите пожалуйста - как найти вектор прерывания соответствующий irq 1 (клавиатура). В и-нете нашел два метода: 1. Через APIC unsigned char...
читаю книгу о rootkits, там есть пример keylogger'а работающего напрямую с железом - на 31h прерывание вешается функция keylogger'а. Попытался...
Допустим есть некий process id. Как определить, что это pid Internet/Windows Explorer'а? Сейчас я это делаю очень наивнум способом - по названию...
Имена участников (разделяйте запятой).
