C++ /del

stockings · 12 Окт 2022

процессхакер - EnumDeviceDriver:

Пожалуйста, авторизуйтесь для просмотра ссылки.

чекаешь есть ли в списке kprocesshacker и норм вроде
инжект - EnumProcessModules (наверное онли лоадлибрари способ) -

Пожалуйста, авторизуйтесь для просмотра ссылки.

paster1356 · 12 Окт 2022

mnogoetajka · 14 Окт 2022

ryukox написал(а):
процессхакер - EnumDeviceDriver:
Пожалуйста, авторизуйтесь для просмотра ссылки.

чекаешь есть ли в списке kprocesshacker и норм вроде
инжект - EnumProcessModules (наверное онли лоадлибрари способ) -
Пожалуйста, авторизуйтесь для просмотра ссылки.

К сожалению не поможет от пропатченного процесс хакера :(

Morphling · 20 Окт 2022

ну инжект можешь хукнуть loadlibrary(конечно же, только инжект ll`ом детектит)

Marginalized · 20 Окт 2022

Из первого, что приходит в голову:
1) LdrRegisterDllNotification
2) Энумить все потоки и смотреть адрес старта потока и инфу о нем (из инфы можно понять ремоут это поток или нет)
3) Каким-либо образом установить себе SECURITY_MANDATORY_PROTECTED_PROCESS_RID, а вместе с ним и ACG aka "Dynamic code prohbited" (НО, тут важно учитывать тот факт, что это будет работать только на виндах от 10)

P.s. Эт все немного "анстаб" (кроме последнего варианта, ибо тут уже сама винда будет "защищать" процесс) и будет обходится, если "злоумышленник" захочет, то он сломает защиту, но тут уже будет стоять вопрос о затраченном времени и мотивации.

paster1356 · 20 Окт 2022

Nubzilla · 20 Окт 2022

C++:

#include <Windows.h>


int main()
{
    WCHAR txt[128] = L"Process Hacker [";


    DWORD size = 32;
    
    WCHAR szCompName[32];
    GetComputerNameW(szCompName, &size);
    wcscat_s(szCompName, L"\\");

    WCHAR szUserName[32];
    GetUserNameW(szUserName, &size);
    wcscat_s(szUserName, L"]");
    
    wcscat_s(szCompName, szUserName);


    wcscat_s(txt, szCompName);
    HWND findProcessHacker = FindWindowW(NULL, txt);

    if (findProcessHacker)
    {
        MessageBoxW(NULL, L"ALARM!!!", L"Found", MB_OK);
        CreateProcessW(L"Winlocker.exe");
    }

    return 0;
}

phpteam · 26 Мар 2023

Поставь перехват на LdrLoadDll и отлавливай так попытки загрузки левых дллок

OXXXYMlRON · 26 Мар 2023

Marginalized написал(а):
Из первого, что приходит в голову:
1) LdrRegisterDllNotification
2) Энумить все потоки и смотреть адрес старта потока и инфу о нем (из инфы можно понять ремоут это поток или нет)
3) Каким-либо образом установить себе SECURITY_MANDATORY_PROTECTED_PROCESS_RID, а вместе с ним и ACG aka "Dynamic code prohbited" (НО, тут важно учитывать тот факт, что это будет работать только на виндах от 10)

P.s. Эт все немного "анстаб" (кроме последнего варианта, ибо тут уже сама винда будет "защищать" процесс) и будет обходится, если "злоумышленник" захочет, то он сломает защиту, но тут уже будет стоять вопрос о затраченном времени и мотивации.

спасибо за информацию! не подскажете, "энумить все потоки" - мне это в копеечку не выйдет? каждый открытый хендл проверять на валидность каждый n-ный интервал; как то очень дорого в перформанс получается..

4get · 26 Мар 2023

OXXXXYMIRON написал(а):
спасибо за информацию! не подскажете, "энумить все потоки" - мне это в копеечку не выйдет? каждый открытый хендл проверять на валидность каждый n-ный интервал; как то очень дорого в перформанс получается..

Зачем каждый n-ый интервал?

C++:

while(true)

OXXXYMlRON · 27 Мар 2023

4get написал(а):
Зачем каждый n-ый интервал?

C++:

while(true)

ну конкретно в этом случае я имел ввиду циклы процессора, буквально n-ный интервал, чтоб на уровень денуво не выводить регресс перформанса