Поехали
Сообщение от
razzzar
как восстановить Sdt я более-менее нашел инфу и исходники. сижу разбираюсь. а вот как снять хуки не совсем понял. Sdt - это ж таблица адрессов функций ядра, так? если ее восстановить, то сразу же снимуться и хуки?
Вряд ли ты быстро разберешься в KERNEL-кодинге.
По поводу вопроса: яблоко стоит на столе. Выбрасываем старый стол и ставим новый. Очевидно, яблока на столе уже не будет. Вопрос твой оч странный даже с точки зрения логики.
Сообщение от
Ky3bMu4
Создаём поток, который будет каждые 7сек. будет убивать процессы фаеров/антивирусов.))))))))
Лол, валяй. Я посмотрю
Сообщение от
slesh
Самый действенный способ - ставь свой драйвер уровня ядра. который быдет сидеть сразу над сетевым драйвером. И тогда хрен кто пропалит.
Но его хрен напишишь
Если не понимаешь, нечего и возникать +) Оч даже и напишешь.
Сообщение от
Ky3bMu4
Обход Outpost Firewall 3.x и 4.0 в Kernel mode (C) wasm.ru
Мегажесть код, что тут делает GetModuleHandleA?
Сообщение от
razzzar
2Кузьмич, этот код ставит свои хуки на уровне ядра?
Этот код, если откинуть неточности грубые, ставит хуки на импорт filtnt.sys на функцию IoGetCurrentProcess.
Сообщение от
inSa(Ne)rd
да все любят кернел моде, переписывать там куски кода и тп
ни один не знает вообще что это такое, но хуле, скопипастить то надо чтоб показать "я крутой рингзеро хэкер" )
Сообщение от
razzzar
у меня тут вопрос один созрел:
чтобы соединится с сервером обычным connect(); обходя фаервол надо сделать такое:
1. найти адресс ядерных функций, которые перехватывает фаервол
2. найти адресса оригиналов
3. снять хуки
?
или можно сделать вариант с SDT? или СДТ работает толья для инжекта?
Нет, SDT это таблица локальных функций. Сеть- вообще из другой оперы, там надо с NDIS работать
блин, вы сначала
1) научитесь кодить
2) научитесь кодить под ядро
3) разберитесь с устройством ядра и ядерной части Windows
А уж потом лезьте.
Сообщение от
KEZ
Фаерволы могут использовать огромное количество колец защиты, в том числе NDIS-перехват
Странная терминология у тебя =) Колец защиты в винде используется два - 0 и 3. 1 и 2 не используются изза совместимости (как меня она бесит, если выкинуть лишний код в винде, она станет в н раз меньше и в н раз быстрее)