|
Source:
Не у всех эти ммаперы работают.
Надо фиксить уметь )
Фиксить под что и как?
Я конечно не шавуха, но patchguard не отключается, дружище
там всего лишь используется уязвимый драйвер intel, который в шеллкоде, который в дальнейшем повышает права системы отключая pg и загружая твой дрв.
Процессоры Интел тут вообще не причём и Маппер на этой уязвимости работает на всех процессорах.
А если у тебя бсод, то проблема либо в драйвере, либо маппер не пофикшен под ласт версию винды
Ты в курсе, что такое шеллкод?)Я конечно не шавуха, но patchguard не отключается, дружище
Ты же сам написал про уязвимость(Shellcode),pg вообще боком обходится
Друг,не надо умничать.Я тебе по факту написал,в каком месте pg отключается? Ты мне про шелл-код начал писать...Если он отключается, то на*ера вся эта муть?))) Почему нельзя его так же отключить и грузить народными методами дрова?
Разве pg можно отключить без правок в ядре?
там всего лишь используется уязвимый драйвер intel, который в шеллкоде, который в дальнейшем повышает права системы отключая pg и загружая твой дрв.
Процессоры Интел тут вообще не причём и Маппер на этой уязвимости работает на всех процессорах.
А если у тебя бсод, то проблема либо в драйвере, либо маппер не пофикшен под ласт версию винды
Видать Schenk сам в ахуе,что он писал картографирование драйвера через shell уязвимость, а написал KPP Destroyer
Не делай пожалуйста facepalm. Ты юзаешь kdmapper в своем проекте при этом не зная, как он работает.
Тебя че заклинило чтоль?Не делай пожалуйста facepalm. Ты юзаешь kdmapper в своем проекте при этом не зная, как он работает.
Драйвер (iqvw64e.sys), который входит в состав драйверов Intel LAN - позволяет копировать, читать и записывать память пользователя / ядра. Данный драйвер записан изначально в шелл код, в подобном виде -
CONST BYTE ShellcodeBytes[] = "\x65\x48\x8B\x04\x25\x88\x01\x00\x00\x48\x8B\x80\xB8\x00\x00\x00"
"\x48\x8B\x09\x48\x8B\x89\x58\x03\x00\x00\x48\x89\x88\x58\x03\x00"
"\x00\xC3"
Если ты не в курсе - это называется шелл кодом. Т.к этот драйвер уже подписан и легален, он загружается в сис-му легально и дальше используется callback функций драйвера с usermode w/s/r, с помощью которых уже ты загружаешь свой убогий драйвер и даже не чистишь за собой следы, а если и чистишь, то наверное по тупому мемсетаешь таблицы, за что уже давно ты и все пользователи твоего макроса получили флаги :) и за детектом осталось недалеко
И кста очень забавно слышать что то про свой драйвер которого ты даже в руках не держал и никогда не подержишьНе делай пожалуйста facepalm. Ты юзаешь kdmapper в своем проекте при этом не зная, как он работает.
Драйвер (iqvw64e.sys), который входит в состав драйверов Intel LAN - позволяет копировать, читать и записывать память пользователя / ядра. Данный драйвер записан изначально в шелл код, в подобном виде -
CONST BYTE ShellcodeBytes[] = "\x65\x48\x8B\x04\x25\x88\x01\x00\x00\x48\x8B\x80\xB8\x00\x00\x00"
"\x48\x8B\x09\x48\x8B\x89\x58\x03\x00\x00\x48\x89\x88\x58\x03\x00"
"\x00\xC3"
Если ты не в курсе - это называется шелл кодом. Т.к этот драйвер уже подписан и легален, он загружается в сис-му легально и дальше используется callback функций драйвера с usermode w/s/r, с помощью которых уже ты загружаешь свой убогий драйвер и даже не чистишь за собой следы, а если и чистишь, то наверное по тупому мемсетаешь таблицы, за что уже давно ты и все пользователи твоего макроса получили флаги :) и за детектом осталось недалеко
Да человек далёк от этих знаний.И кста очень забавно слышать что то про свой драйвер которого ты даже в руках не держал и никогда не подержишь
нет это антивирус
А спасибо мне как раз антивирус нужен :)
