Пользователь
- Статус
- Оффлайн
- Регистрация
- 26 Июн 2020
- Сообщения
- 135
- Реакции
- 67
На днях, во время написание моего чита, мне не понравилось, что мой код может быть обнаружен стекволкером античитов.
Использовать анлинкинг , удаление из cidtable, и т п мне кажется не очень хорошей идеей, потому что наш поток все еще остается в планировщике(KPRCB).
А нахождение несоответствия, это плохо для нас.
Для меня было оптимальным решение оставить поток как есть(с небольшими изменениями), и спуфить адреса возврата моего потока, ведь это основной способ как можно найти наш код.
Я сделал простенький и удобный спуфер стека вызовов, который можно использовать как в ядре так и в юзермоде. Он написан на коленке в спешке, так что не бейте ссаными тряпками.
Репозиторий прикрепил, много писать о нем не вижу смысла, кода немного, да и основную мысль изложил на репозитрии.
Использовать анлинкинг , удаление из cidtable, и т п мне кажется не очень хорошей идеей, потому что наш поток все еще остается в планировщике(KPRCB).
А нахождение несоответствия, это плохо для нас.
Для меня было оптимальным решение оставить поток как есть(с небольшими изменениями), и спуфить адреса возврата моего потока, ведь это основной способ как можно найти наш код.
Я сделал простенький и удобный спуфер стека вызовов, который можно использовать как в ядре так и в юзермоде. Он написан на коленке в спешке, так что не бейте ссаными тряпками.
Репозиторий прикрепил, много писать о нем не вижу смысла, кода немного, да и основную мысль изложил на репозитрии.
Ссылка:
Пожалуйста, авторизуйтесь для просмотра ссылки.
