я конечн не настолько крут как ты.. я к этому стремлюсь.. но какая-то бональная эрудиция подсказывает мне что аутпост не ради развлечения ставит сплайсинг в этих апишках.
Точно, ты не настолько крут как я, иначе бы посмотрел сст (с системы, где стоит Outpost 4.0.971.7030 (584))
, увидел бы в ней все эти ядерные хуки, покраснел бы и перестал писать в этот топик.
Поэтому свою бональную эрудицию ты имхо развиваешь не в том направлении
а что бы ты не продолжил этот разговор, сказав что SandBox.sys - не аутпоста вовсе, выкладываю:
(в ранних версиях хуки идут прямо в filtnt.sys
ну а что бы ты не сказал, что на том месте, где ничего не написано на скриншоте, идет не NtWriteVirtualMemory, вот тебе тот же скриншот, снятый с системе без аутпоста
Но, конечно, ты скажешь что у меня мол, новая версия, а у тебя старая. Я могу специально поставить на виртуалку любой старый аутпост, в котором хотя бы есть вообще контроль виртуальной памяти процессов и снять тебе такие же скриншоты,
UPD:
ну и конечно твой замечательный пост на ту же тему
http://forum.antichat.ru/showthread.php?p=338299#post338299
Сообщение от
gevara
Полный бред. аутпост СДТ не перехватывает. это может быть либо КАВ либо ещё что-то... Я даже прогу писал - убивает аутпост через инжект в него, затем ZwTerminateProcess(-1,0); Драйвер аутпосту нужен лишь для перехвата устройств \Tcp \Ip \Udp \RawIp. Хук на инжект ставится в третьем кольце. По крайней мерии, я тестировал на версии третьей и четвёртой версиях.