Зачем мапать файл или использовать жёстко закодированные системные номера(Like:VMP) для обхода UM хуков,

когда можно просто получить правильный системный номер , путём брутфорса системного номера и проверки возвращаемого статуса?

Звучит гениально, не правда ли?

Это просто мемный PoC(только x64 code т.к я не оченьлюблю идею WoW64 и согласен с Xjun),поэтому не считайте данный код чем-то серьёзным.

Для x32 code в WoW64 вы должны использовать heavens gate,а для x32 системы вам нужно фиксить стек т.к после вызова идёт выравнивание

Это позволяет легко обходить любые UM хуки,кроме Instrumentation Callback

SharpOD_enabled.pngAhora57 · 11 Фев 2023 в 21:38' data-fancybox="lb-post-1254492" data-lb-caption-extra-html="" data-lb-sidebar-href="" data-single-image="1" data-src="https://www.blast.hk/attachments/189538/" style="cursor: pointer;" title="SharpOD_enabled.png">


Code