так и ещё... а чем вас не устраивает периодичный мониторинг собственных потоков (от CreateRemoteThread) и мониторинг|шифрование памяти?
да не берите в голову... подобные вещи используются зловредами... вам это не нужно, сами сказали... вообще говоря, для целей защиты - можно было...
окей... спасибо за наводку... приду на работу - погуглю об этом))
хе-хе... я вот был уверен, что сейчас придет Клерк и скажет что-то в этом духе)))) ты кстати не изучал этот процесс на предмет потоков?......
наверное я что-то недопонимаю простой вещи... поясните пожалуйста... например... вот у меня есть хендл с полными правами ключа, в полях которого...
да-да... но я чет не понимаю, как это сделать... то есть, как отобразить определенное поле в память?... допустим, составить полное отображение из...
хе-хе... ну не берите в голову мои слова, это сложный момент... ring3 - так ring3... это опять же сложный момент, под вистой вы не заинжектитесь...
есть два фактора, недающие мне покоя: 1) ключ реестра может иметь тип BINARY, в который можно положить любую бинарщину размером до 1 мб... таким...
а как и почему связаны слова "драйвер", "x64" и "не будет работать"?))))
ну тут не только о висте разговор... начиная с висты не так то просто получить хендл процесса на уровне доверия выше вашего... приходится...
кстати загрузка драйвера из под драйвера можно очень кашерно сделать... загрузить в память ядра, настроить релоки, таблицу импорта, и запустить...
это типа подколол меня?... внедряешь код в процесс с правами админа, создаешь ключ в реестре, получаешь привилегию на загрузку драйвера,...
пуффф... вы думаете, что вам требуется реализовывать какой-то хитрожопый алгоритм? зачем? ксорить длинным ключом и всего делов... мы говорим о...
имеется ввиду, что CreateRemoteThread и WriteProcessMemory - это лишь самое простое из того, что можно придумать из под юзера)) под юзером можно...
в чтении нет ничего страшного, практически никто из защитников этого не делает... то есть вы хотите получить все, ниимея ничего... это все...
да кстати ещё и не факт, что злоумышленник будет использовать удаленные потоки и работу с чужой приватной памятью... этим уже никого не удивишь......
блин... если они утекали, то кто же ими заделиться?)))
нет... статья о том, как работают именно эмуляторы "конкурентов"... допустим вы сказали, что эмуль макафи заточен под другие нужды, нежели эмуль...
kaspersky, да... а не тема ли это для новой статьи?))))
вообще сижу весь на измене))) научите меня кто-нибудь тру-дзенским хакерским техникам))) пойду прочту оттуда пару статей...
Имена участников (разделяйте запятой).
