Перехватываем NtContinue, смотрим трейс, и, если мы не выделяли память, из которой он вызван, или эта память не в известном нам модуле ->...
Indy_, не учитываешь, что требуется не абсолютная защита, а достаточная. Обойти всегда обойдут, но если прикроем хотя бы основные паблик-инжекты -...
Блэклисты\вайтлисты - самое очевидное, но очень неудобное решение. Пока думаю над какой-нибудь не очень сложной нейронкой, на вход которой...
Пишу библиотеку для антиинжектов. Полтора года назад уже писал такую, с тем же функционалом, пока она не разрослась до неимоверных масштабов,...
Да нет, надеялся на простой способ, типа на уровне решения переопределять настройки проектов. Но такого нет. Проблему решил просто: написал...
Не пересекался. И в паблике не видел ни одной публикации по отключению. Видимо, ещё не обошли
Добрый день форумчанам и в эфире новая минутка идиотизма. Есть солюшн с моим проектом. В него нужно добавить проект необходимой библиотеки, у...
Посмотри в сторону протокола OBEX. Не факт, что для мышей используется именно он, но, т.к. это стандарт для обмена данными по Bluetooth, есть...
Смотря в каком проде) Вообще, думаю, абсолютно все паблик-хуклибы уже в блэклистах, но я не для VX-целей писал (скорее, даже, наоборот - для...
А Zydis тем и хорош, что его можно собрать как отдельный дизасм длин, без декодинга мнемоник, без поддержки ненужных расширений, типа AVX, безо...
Наиболее полный, разрабатывается при поддержке интелa, быстрее капстона и интеловского XED'a, не тащит никаких зависимостей (даже от LibC),...
Ни разу не видел) Все юзают MinHook, новый модный PolyHook, а чтобы чисто на NativeAPI - не встречался
К сожалению, не моя: концепцию и общую архитектуру позаимствовал у китайского ресёрч-инженера Satoshi Tanda, а сам лишь немножко причесал код,...
При всём разнообразии библиотек для перехвата функций, не видел ни одной, использующей лишь NativeAPI. Решил написать свою. Итак, либа: Написана...
Лучше рано)
Да, дамп - лучшее решение. Автоматически такие баги не найти, только вручную. А в целом, тот адрес и должен был показать тебе проблемную инструкцию
hapr, никак их не находят. Снимают дамп, смотрят трейс, смотрят, откуда вызвали проблемную функцию, смотрят регистры. Эмпирически находят проблему.
hapr, а посмотри-ка, что лежит по адресу EIP (0x853004). Если адрес в твоём эксепшне верный, то значит, ты просто прыгнул не туда, и этот кусок...
У тебя на скрине адрес 0x856C8F, просто перейди по этому адресу в отладчике. Не по 0x400000 + 6C8F, а именно по тому, что тебе выдаёт эксепшн.
Жесть какая! Пробежался мельком, надо разбираться. На выходных гляну подробнее, спасибо за сурсы
Имена участников (разделяйте запятой).
