galenkane, Ну а какое отношение к этой теме имеет криптование бинарей ? Навесь три слоя крипта на сабж я всё равно лог визором по выборкам...
HoShiMin, Где что спамит ? Этот семпл ты мне дал где то в начале темы. И есчо к нему есть символы(pdb). Вывод в консоль при инжекте - я не...
Вот на скрине более наглядно: [ATTACH] - два индексируемых массива рядом. Две аналогичные конструкции, на два массива нет ссылок для перезаписи....
HoShiMin, > Хотя очень маловероятно, что это - баг. Не похоже на баг, тоесть обычная конструкция простая. Походу лазейку оставили...
UbIvItS, > чит в идеале == нейронная сеть У аверов с их огромными базами сигнатур не получилось. А ведь датасет же годный!? VaVa, > как-то...
galenkane, А что даст виртуализация бинаря ? Разве что затруднит реверс, это при условии что нет сурков, но это ведь опенсорс. Даже если нет...
UbIvItS, У вас всегда отрешённые рассуждения. А тут походу реальный софт и реальный детект попытки чтения. А таких областей может быть сколько...
HoShiMin, Так там совсем иное. Не знаю с чем это связано, я давно очень пытался воспроизвести баг и вчера-сегодня, безуспешно. Хотя и можно...
HoShiMin, > Вот это и подвисание ядра заинтересовало. Когда будет время, гляну Это не относится к висяку, разные проблемы не связанные. >...
HoShiMin, > можем ли косвенно определить, что стек подозрительный? Не заворачивайся на этом, поверь это тупик. Можно любые фреймы сформировать....
HoShiMin, Я только хотел написать что ты не разговорчивый совсем.. :sad: > мог ли поток оказаться там, где оказался, исходя из всех предыдущих...
Я бы несанкц. попытку доступа к памяти обнаруживал, а затем спустя некоторое время изменял логику работы. Это на win очень просто сделать,...
HoShiMin, Что думаешь на счёт этого всего ?
С RtlEncodePointer не вышло из за коллизии хэшей. Оказалось есть RtlEncodeRemotePointer(), которая аналогична. Можно из другого процесса этот ключ...
Прикинул как можно управление получить переписав глобальный указатель, их не много. Для исключений указатели шифруются RtlEncodePointer(). Ключ...
ormoulu, https://github.com/stephenfewer/ReflectiveDLLInjection/blob/master/dll/src/ReflectiveLoader.c if( !pDllMain( NULL, DLL_QUERY_HMODULE,...
HoShiMin, Так ведь нужно было с тестов и начинать. Вот есчо твой косяк - можно изменять тип доступа к секциям любого модуля и никакой реакции...
TrashGen, У меня для тебя новость что есть в юзермод несколько режимов, это legacy & compatibility. Различаются разрядностью и сегментацией. Но...
Thetrik, Так что с семплом выше, падает или нет ??
TrashGen, > кроссач в той и другой разрядности проца Норм отладчик выбирает диз и контекст на основе текущего режима(кодовый сегмент, eg: LAR)....
Имена участников (разделяйте запятой).
