ANTICHAT — форум по информационной безопасности, OSINT и технологиям

для чего: порой встречаются системы защиты, работающие в режиме ядра. т.е. они перехватывают ряд ядерных функций (КИС, КАВ, разные античиты и тд), в результате чего мы, например, не можем выполнить некоторые действия. например сделать инжект в процесс и тд и тп. так вот. предлагаю вашему вниманию драйвер, суть его работы заключена в том, что при загрузке он проверяет наличие таких перехватов и если находит, то перехватывает самого перехватчика, таким образом работая как заглушка. драйвер защиты думает что он перехватил что надо и все нормально, но в данный момент его обработчик сам перехвачен заглушкой которая передает управление оригинальным функциям.

естественно в этом случае мы можем творить в режиме пользователя что угодно.

данная версия обезвреживает (не повреждая систему защиты):

NtOpenProcess <---> OpenProcess
NtProtectVirtualMemory <---> VirtualProtect
NtWriteVirtualMemory <---> WriteProcessMemory
NtCreateThread <---> CreateRemoteThread
NtAllocateVirtualMemory <---> VirtualAllocEx

те после запуска драйвера мы по идее можем инжектить что угодно и куда угодно.

НУЖНО ПРОВЕРИТЬ. если у кого есть возможность, с проактивными антивирами (разными) и тд, затестьте и отпишитесь.

схема работы- загрузить драйвер с помощью NtLoadDriver, дальше просто попробовать инжектнуться куданибудь.

НО! не выгружайте драйвер ранее того как будет выгружена система защиты. иначе бсод.


для простоты добавил сразу с лоадером. запускаете ехе, ждете месаг бокса и дальше пускаете свою прогу с инжектом.

самое элементарное, кто в кс гамит - запустите маяк, затем лоадер и любой чит, например senses fail

таргет билды (оч важно, исходите из установленной ОС)
все они под х86 (не 64битные)

Windows 7:
http://www.sendspace.com/file/y3zprp

Windows XP:
http://www.sendspace.com/file/5az3wg

__________________


snow white world wide