Легенда форума
-
Автор темы
- #1
Список функций которые использует антчит.
Будет полезно для некоторых реверсоров, которые хотят использовать определенные функции или просто хотят узнать что использует античит для блокировки попыток обойти его.
Это дамп функции из vgk.sys от 15 мая.
User mode wrapper;
Physical memory scan
NT API management;
Debugger detection;
Process/thread callbacks;
Hardware detection;
Process/Thread scan;
Drive/file scan;
Registry scan;
Timer / thread;
Handle table stuffs;
Synchronization;
Digital signature validation;
APC monitoring;
HAL integrity check
Hook for other drivers(here);
Shutdown stuffs
Self stuffs;
Common;
Unknown;
Будет полезно для некоторых реверсоров, которые хотят использовать определенные функции или просто хотят узнать что использует античит для блокировки попыток обойти его.
Это дамп функции из vgk.sys от 15 мая.
User mode wrapper;
Код:
ntoskrnl.MmCopyVirtualMemory
ntoskrnl.MmMapIoSpace
ntoskrnl.MmMapIoSpaceEx
ntoskrnl.MmUserProbeAddress
ntoskrnl.MmProbeAndLockPages
ntoskrnl.MmMapMemoryDumpMdl
Код:
ntoskrnl.ZwCreateSection
ntoskrnl.ZwOpenSection
ntoskrnl.ZwMapViewOfSection
ntoskrnl.ZwUnmapViewOfSection
ntoskrnl.MmSectionObjectType
ntoskrnl.MmGetPhysicalMemoryRanges
ntoskrnl.MmGetPhysicalAddress
ntoskrnl.IoAllocateMdl
ntoskrnl.IoFreeMdl
ntoskrnl.MmMapLockedPagesSpecifyCache
ntoskrnl.MmProtectMdlSystemAddress
ntoskrnl.MmUnlockPages
ntoskrnl.MmUnmapLockedPages
ntoskrnl.MmFreeContiguousMemorySpecifyCache
ntoskrnl.MmAllocateContiguousMemorySpecifyCache
ntoskrnl.ZwMakeTemporaryObject
Код:
ntoskrnl.MmGetSystemRoutineAddress
ntoskrnl.RtlFindExportedRoutineByName
Код:
ntoskrnl.KdDebuggerNotPresent
ntoskrnl.KdDebuggerEnabled
ntoskrnl.KdEnteredDebugger
ntoskrnl.PsGetProcessDebugPort
ntoskrnl.KdChangeOption
Код:
ntoskrnl.PsProcessType
ntoskrnl.PsThreadType
ntoskrnl.PsSetCreateProcessNotifyRoutine
ntoskrnl.PsSetCreateProcessNotifyRoutineEx
ntoskrnl.PsSetLoadImageNotifyRoutine
ntoskrnl.PsRemoveLoadImageNotifyRoutine
ntoskrnl.PsIsProtectedProcess
ntoskrnl.ObRegisterCallbacks
ntoskrnl.ObUnRegisterCallbacks
Код:
ntoskrnl.ExCreateCallback
ntoskrnl.ExRegisterCallback
ntoskrnl.ExUnregisterCallback
Код:
ntoskrnl.KeStackAttachProcess
ntoskrnl.KeUnstackDetachProcess
ntoskrnl.PsLookupThreadByThreadId
ntoskrnl.PsLookupProcessByProcessId
ntoskrnl.PsGetThreadId
ntoskrnl.PsGetThreadProcessId
ntoskrnl.PsGetProcessPeb
ntoskrnl.PsIsProtectedProcessLight
ntoskrnl.PsGetProcessImageFileName
ntoskrnl.PsGetProcessSessionId
ntoskrnl.PsGetProcessWow64Process
ntoskrnl.ZwQueryInformationProcess
ntoskrnl.PsGetProcessId
ntoskrnl.PsGetProcessSectionBaseAddress
ntoskrnl.ZwTerminateProcess
ntoskrnl.SeLocateProcessImageName
Код:
ntoskrnl.ZwLoadDriver
ntoskrnl.ZwQueryVirtualMemory
ntoskrnl.ZwCreateFile
ntoskrnl.ZwReadFile
ntoskrnl.ZwQueryInformationFile
ntoskrnl.ZwDeviceIoControlFile
Код:
ntoskrnl.CmRegisterCallbackEx
ntoskrnl.CmUnRegisterCallback
ntoskrnl.ZwOpenKey
ntoskrnl.ZwQueryValueKey
ntoskrnl.ZwSetValueKey
ntoskrnl.ZwDeleteValueKey
ntoskrnl.RtlStringFromGUID
Код:
ntoskrnl.KeReadStateTimer
ntoskrnl.KeInitializeTimer
ntoskrnl.KeSetTimer
ntoskrnl.KeCancelTimer
ntoskrnl.PsCreateSystemThread
ntoskrnl.PsTerminateSystemThread
ntoskrnl.KeDelayExecutionThread
Код:
ntoskrnl.ExEnumHandleTable
ntoskrnl.ZwQuerySystemInformation
Код:
ntoskrnl.ExAcquireFastMutex
ntoskrnl.KeReleaseGuardedMutex
ntoskrnl.ExWaitForRundownProtectionRelease
ntoskrnl.ExAcquireRundownProtection
ntoskrnl.ExReleaseRundownProtection
ntoskrnl.ExAcquireSpinLockExclusive
ntoskrnl.ExAcquireSpinLockShared
ntoskrnl.ExReleaseSpinLockExclusive
ntoskrnl.ExReleaseSpinLockShared
ntoskrnl.ExTryConvertSharedSpinLockExclusive
ntoskrnl.InitializeSListHead
ntoskrnl.FirstEntrySList
ntoskrnl.ExpInterlockedPopEntrySList
ntoskrnl.ExpInterlockedPushEntrySList
ntoskrnl.KeInitializeEvent
ntoskrnl.KeSetEvent
ntoskrnl.ExInitializePushLock
ntoskrnl.ExfUnblockPushLock
ntoskrnl.KeWaitForMutexObject
Код:
cng.BCryptOpenAlgorithmProvider
cng.BCryptGetProperty
cng.BCryptCreateHash
cng.BCryptHashData
cng.BCryptFinishHash
CI.CiFreePolicyInfo
CI.CiCheckSignedFile
CI.CiVerifyHashInCatalog
Код:
ntoskrnl.KeAreAllApcsDisabled
ntoskrnl.KeInitializeApc
ntoskrnl.KeInsertQueueApc
ntoskrnl.KeTestAlertThread
Код:
ntoskrnl.HalPrivateDispatchTable
Код:
ntoskrnl.IoGetInitialStack
ntoskrnl.PsLookupThreadByThreadId
ntoskrnl.IoGetDeviceObjectPointer
ntoskrnl.IoBuildDeviceIoControlRequest
ntoskrnl.IofCallDriver
ntoskrnl.IofCompleteRequest
Код:
ntoskrnl.IoRegisterShutdownNotification
ntoskrnl.IoUnregisterShutdownNotification
ntoskrnl.PsGetProcessExitProcessCalled
ntoskrnl.PsReleaseProcessExitSynchronization
Код:
ntoskrnl.IoCreateDevice
ntoskrnl.IoDeleteDevice
ntoskrnl.IoCreateSymbolicLink
ntoskrnl.IoDeleteSymbolicLink
ntoskrnl.KeIpiGenericCall
Код:
ntoskrnl.ObOpenObjectByPointer
ntoskrnl.ObfReferenceObject
ntoskrnl.ObReferenceObjectByHandle
ntoskrnl.ObfDereferenceObject
ntoskrnl.ObQueryNameString
ntoskrnl.ObGetObjectType
ntoskrnl.swprintf_s
ntoskrnl.RtlInitAnsiString
ntoskrnl.RtlAnsiStringToUnicodeString
ntoskrnl.RtlEqualUnicodeString
ntoskrnl.RtlDuplicateUnicodeString
ntoskrnl.RtlInitUnicodeString
ntoskrnl.RtlFreeUnicodeString
ntoskrnl.RtlGetVersion
ntoskrnl.RtlRandomEx
ntoskrnl.ZwProtectVirtualMemory
ntoskrnl.ZwClose
ntoskrnl.IoGetCurrentProcess
ntoskrnl.ZwQueryObject
ntoskrnl.ZwWaitForSingleObject
ntoskrnl.MmIsAddressValid
Код:
ntoskrnl.PsInitialSystemProcess
ntoskrnl.ObDuplicateObject+5F0
ntoskrnl.ZwWriteFile