Новость. Реализовать нт анклав в юм возможно. Это значит что можно протектить всё. Я покажу если получится.
Посмотрел ядро 10-ки. Есть некая переменная PopQpcFrequency, в которую сохраняется ничего(рандом): INIT:000000014070528E call...
galenkane, Куда именно смотреть, там определения нескольких нт прототипов. QPC - соответствий не найдено. Не найдено и в сурках WRK.
galenkane, Какой то наркоманский бред. Что есть QPC" я как и ядро нт хз. Какой бы ты бред не придумал - страница NX.
galenkane, Пример покажите. Что значит с помощью структуры" ?
galenkane, > а вас волнует это? Нет конечно. Все тут знают что от твоего имени модер может написать что угодно поправив твоё сообщение. Это же...
galenkane, А почему вас это волнует, тут сообщения модеры могут изменять и удалять как хотят.
Rel, Имеется ввиду динамический код. Обычная защита функций это фишка пе формата, но для этого образ должен содержать нужную инфу. Поэтому я и...
trsoft, > Основной критерий OEP - стандартный код в начале программы Чушь пишешь, даже в твоём случае EP отморфлена. Причём ты на ручной разбор...
trsoft, Это самый норм вариант, те зачем распаковывать, что бы изменить, если можно дождаться когда апп само распакуется и сделать всё что...
trsoft, Ветвления лишние можно просто удалить пересборкой на другой адрес. Вот пример, оно пару минут покрутит приложение и создаст дамп gp.bin,...
vx1d, Есть некая RtlInsertInverted.., но дело не в этом. Что бы получить импорт нужно знать базу ядра. Я посмотрел, наверно можно попробовать...
vx1d, А есть разница ? Там описан механизм установки доверенных обработчиков, не зависящий от апи.
00BD0DD8 push 0055B746 00BD0DDD ret Переход из отморфленной EP на распакованный образ. trsoft, Я почитал по вашей ссылки на ачат: Как раз...
Rel, > потом они постепенно перевели все эти детекты на эвристику На этом история не заканчивается. Каспер просёк что его сканят...
hiddy, Ошибочное мнение что авер как то может отличить что апп вредоносно. Это невозможно в общем сделать.
hiddy, Значит вам просто в статике нужно простейший граф создать. Для этого есть кучи моторов https://clck.ru/FX2ss Бесчисленное множество,...
vx1d, https://docs.microsoft.com/en-us/cpp/build/exception-handling-x64?view=vs-2019 Если не хочешь работать с исключениями, то единственный...
Юзермод отличается от кернел. В юм в несколько строк трассировка обычная машинная реализуется - установил ловушку и обрабатывай останов. В ядре же...
Мне дали на кл семпл, надеясь что ничего не получится. Это какой то крякми(Патрик"). Секция кода криптована, апп проверяет кто его запустил и не...
Имена участников (разделяйте запятой).
