[ATTACH] В вечном цикле читаешь значения любых счётчиков времени из этой структуры - TickCount или тот же SystemTime, засекаешь время начала...
Тут ещё зависит от сферы, в которой работает защищаемое приложение, есть ли физический доступ к машинке с ним и т.д. В моём случае приложение...
В том и дело, что нет. Пользователь может запустить процесс с ограниченными правами, работая под учёткой хоть NT_AUTHORITY/System. Он может делать...
Хм, не совсем понял. Приведу реальный пример: процесс джавы. В него инжектят дллку (любыми способами), она аттачит поток к JVM и получает...
Именно от них, потому что именно эти инжекты и будут использовать для внедрения своих библиотек. Просто абстрагируемся от деталей и подумаем:...
В том и дело, что у меня задачи хоть и сходные, но применение визора не так критично, когда есть десятки обходных путей, намного более простых,...
Здесь прокомментировать никак не смогу, потому что домашняя машинка на AMD, а гипервишные анклавы так заставить работать не получилось (те,...
Не согласен: допустим, мы хотим изолировать только один модуль от рантайм-изменения, а остальные не критичны: кладём модуль в анклав, получаем...
Но это решается, если поставить VEH, ловить эксепшны, анализировать точку входа и перенаправлять в визор. Проблема в том, что если нельзя отличить...
А как визор отличает свои потоки от чужих? Например, я вызову CreateRemoteThread, визор должен знать, какие потоки начинать транслировать, а какие...
В том плане, что транслятор в данном случае будет работать как обёртка над юзермодными примитивами синхронизации и какие могут быть из-за этого...
Взял свой инжектор, который выполняет шелл с GetModuleHandle и LoadLibrary. Потом свой же инжектор через SetWindowsHookEx, потом просто вписал...
Я всегда шёл от того, что функция делает. Если примерно знаешь, какие функции она вызывает, ищешь их в иде и идёшь "наверх". Аналогично в...
А визор по смыслу и есть трассировщик, только после построения графа функций он их ещё и выполняет. Так что, по сути, обычный трассировщик сделает...
И хотел бы прикрутить, но не хочется тащить за собой либу интерпретатора, а над системой правил думаю - напишу что-нибудь самописное Но у меня не...
Indy_, впервые вижу эксешник с ОДНИМ импортом, и ида ругается на половину функций. Прикольно, тоже так хочу)
Собрал дллку, CFF Explorer'ом подцепил к java.exe в импорты, запустил игру. Дллка грузится раньше всех зависимостей, ставит перехваты, и больше от...
Indy_, хорошо, допустим. Но! В данном случае, это простое окошко - лабораторные условия. Но как ведёт себя визор в более сложных приложениях?...
Пока думаю, что у меня это получилось: в прошлой версии была проблема с фильтром памяти, время от времени наталкивался на дедлоки. Сейчас без...
А я буду время от времени сверять исполняемые секции. А если совсем заморочиться, можно даже подсчитывать количество записей в страницу на тот...
Имена участников (разделяйте запятой).
