Сообщение от
gevara
Опять-же как можно изменить аттрибуты секции файла? разобрать PE заголовок, найти эту секцию и прописать новые аттрибуты? WFP сразу вернёт всё на место.
.
Неееее) Я ж не у ntdll меняю характеристики секции кода! (я об этом, канешн сначала думала, кстати на васме если мне память не изменяет был код отруба WFP). Да и в самом ntdll.dll не внесни никаких изменений - файл только для чтения. Я говорю про саму программу. Чтобы потом не было вопросов=) Просто я пишу непосредственно в секции кода, не установив права на запись, поэтому я предупредила, что характеристики секции это позволяют
я ж пишу в эту процедуру непосредственно
Код:
system_call proc
mov eax,0 ; сюда мы запишем номер функции
mov edx,0
call dword ptr [edx] ; KiFastSystemCall
retn 14h ; количество передаваемых параметров я знаю точно
system_call endp
хм, мо-моему оутпост ничё не вякал и позволял норм анхукать =d
Дааааа ) Поэтому я рассматриваю теоретическую возможность перехвата. Но в скором времени, учитывая то, что в этом сезоне модно убивать аутпост, может стать практической))))
Только в реальности работать не будет...
Отчего же? У мну все заработало))))))
читаем из файла оригиналиное содержимое функции да и затираем все хуки...
А ты что юзаешь для того, чтобы затереть хук? VirtualProtect. VirtualProtect вызывает VirtualProtectEx, а та в свою очередь ZwProtectVirtualMemory. А если на ней хук?) Перехват этой функции - это возможное решение разработчиков против антисплайсинга. Причем довольно вероятное.