сам нашел
2FED Извиняюсь, но мне кажется в Вашем коде нет защиты на случай если кто-то исполняет модифицируемый код. Или я чего-то не вижу?
А что мешает переписать первые байты функции, и вписать прыжок на свою функцию? я так делаю и с антивирусами живёт отлично Мешает, то что это...
Да так и есть. Большое спасибо! Одна только беда - struct _ETHREAD недокументированна, насколько она меняется в в пределах XP sp1, sp2, Vista?
Скажите, можно ли по id потока получить id его родительского процесса?
WIN32 Основное требование - не влиять на нормальное функционирование антивируса.
Недавно видел прикольный способ инжекта во все процессы: 1. При запуске - енумерация всех процессов + CreateRemoteThread. 2. Внутри процесса...
Как то у меня была програмка - распознавала пакеры/крипторы. Потерял ее, и забыл название... Может кто знает, что-то подобное?
k3internal Вопрос то не в этом... У меня драйвер который является "фильтром" нескольки системных вызовов системы для всех процессов. Драйвер...
Deyton Сценарий похожий на Comodo у меня наблюдается с Panda. Проверил с кучей антивирусов: norton, nod, kasp, trend micro, mcaffee, ......
Это только так кажется :)
проверить фрайвер
Скажите, есть ли програмка которая бешенными темпами вызывает функции API, причем желательно все функции подряд: работа с фаулами, процессами, и пр.
Deyton BitDefender выгрузил свой драйвер. А как может получиться, что хук неверно корректирует стек, и при этом при передачи управления настояшей...
Great Извиняюсь, не понял, что нужно хукать? Что такое WorkItem/worker routine? А какие могут быть причины НЕ патчить обрабoтчик sysenter?...
Вызывается IopLoadUnloadDriver, а она в свою очередь из NtUnloadDriver. Буду хукать ZwUnloadDriver
cresta Вроде нашел замену - хукаем ZwUnloadDriver и можно подсмотреть какой драйвер выгружается. Проблема в том, что ето будет работать только...
А есть ли какой callback вызываемый при выгрузке драйвере (не моего)? Т.е., аналог PsSetLoadImageNotifyRoutine только вызываемый при выгрузке...
cresta Немного геморойно. Есть масса антивирусов и нет никакой возможности сделать ad-hok решение для каждого из них. Нужно что-то универсальное...
Great Можно, но тогда придется возится с копированием аргументов и на стек и прочее, не хочу сказать, чтоб это было уж слишком сложно, но,...
Имена участников (разделяйте запятой).
