|
ядерная заглушка
для чего: порой встречаются системы защиты, работающие в режиме ядра. т.е. они перехватывают ряд ядерных функций (КИС, КАВ, разные античиты и тд), в результате чего мы, например, не можем выполнить некоторые действия. например сделать инжект в процесс и тд и тп. так вот. предлагаю вашему вниманию драйвер, суть его работы заключена в том, что при загрузке он проверяет наличие таких перехватов и если находит, то перехватывает самого перехватчика, таким образом работая как заглушка. драйвер защиты думает что он перехватил что надо и все нормально, но в данный момент его обработчик сам перехвачен заглушкой которая передает управление оригинальным функциям.
естественно в этом случае мы можем творить в режиме пользователя что угодно. данная версия обезвреживает (не повреждая систему защиты): NtOpenProcess <---> OpenProcess NtProtectVirtualMemory <---> VirtualProtect NtWriteVirtualMemory <---> WriteProcessMemory NtCreateThread <---> CreateRemoteThread NtAllocateVirtualMemory <---> VirtualAllocEx те после запуска драйвера мы по идее можем инжектить что угодно и куда угодно. НУЖНО ПРОВЕРИТЬ. если у кого есть возможность, с проактивными антивирами (разными) и тд, затестьте и отпишитесь. схема работы- загрузить драйвер с помощью NtLoadDriver, дальше просто попробовать инжектнуться куданибудь. НО! не выгружайте драйвер ранее того как будет выгружена система защиты. иначе бсод. для простоты добавил сразу с лоадером. запускаете ехе, ждете месаг бокса и дальше пускаете свою прогу с инжектом. самое элементарное, кто в кс гамит - запустите маяк, затем лоадер и любой чит, например senses fail таргет билды (оч важно, исходите из установленной ОС) все они под х86 (не 64битные) Windows 7: http://www.sendspace.com/file/y3zprp Windows XP: http://www.sendspace.com/file/5az3wg |
ОгО! Сейчас проверю!
|
Первый запуск норм. На втором бсод.... Сейчас включу запись ошибок и повторю. (антивиря нет)
|
винда как указано? что стоит (антивир или гуард какой)
зы ОК надо давить только тада када сделаешь все операции. просто если есть другой драйвер, который перехватывает ядро, то наш - перехватывает его обработчики. и если нас выгрузить (нажав ОК) то с его обработчиков проц будет улетать в ебеня. собсна смысл бсода. ззы и желательно проверить таблицу sdt какаимнить rku или avz - есть ли какие хуки зззы весь дебаг принт я у него вырезал дабы алгоритм не палить, он тока выводит када загрузился и када выгрузился |
Цитата:
Цитата:
Цитата:
|
обновил первый пост - и 7 и хп
|
sn0w, может посоветуешь, что почитать по разработке драйверов?
|
Цитата:
Но она так же бсодит по тем же адресам. Цитата:
|
Хоглунда (rootkit.com) , васм.ру, руткитс.су... Солдатов ВП - программирование драйверов Windows. но в целом эта инфа более складывается из исследования и отдельных людей. те это какбы мозговой торрент чтоли) мне в этом деле например помогал ранее довольно известный тут человек, kez)
да и кстати грейта!) |
2 M_script_:
https://forum.antichat.ru/thread91797.html |
| Время: 13:15 |