Если спиздить подпись для драйвера, то IOCTL не детект. И кдмаппер тоже не детект, если подчистить следы
|
Вопрос Как безопасно прочитать память через kernel драйвер?
- Автор темы MHSPlay
- Дата начала
Начинающий
Начинающий
- Статус
- Оффлайн
- Регистрация
- 7 Окт 2022
- Сообщения
- 90
- Реакции
- 9
/del
Последнее редактирование:
Пользователь
- Статус
- Оффлайн
- Регистрация
- 24 Мар 2022
- Сообщения
- 179
- Реакции
- 42
Пожалуйста, авторизуйтесь для просмотра ссылки.
Эксперт
Эксперт
- Статус
- Оффлайн
- Регистрация
- 29 Мар 2021
- Сообщения
- 1,624
- Реакции
- 626
блядь вы чо творите то нахуй
открыл сокет и болтаешь себе спокойно со своим юзермодом...
открыл сокет и болтаешь себе спокойно со своим юзермодом...
Пользователь
- Статус
- Оффлайн
- Регистрация
- 24 Мар 2022
- Сообщения
- 179
- Реакции
- 42
Пожалуйста, авторизуйтесь для просмотра ссылки.
Начинающий
Начинающий
- Статус
- Оффлайн
- Регистрация
- 17 Июн 2023
- Сообщения
- 23
- Реакции
- 4
На самом деле сокеты UD. Еак банит не саму связь с сокетами, а вызванный поток. Ибо сокеты это просто обмен данными с сервера на клиент.
Полностью тебя поддерживаю, IOSTL ud так же как и сокеты, просто вопрос как ты им пользуешься, а на счёт kdmapper он оставляет кучу мусора после себя, если его чутка переделать то он в целом даже хорошо будет себя чувствоватьа теперь ебланы прекратите хуями мерится, и предоставляйте пруфы того как вы отреверсили, и увидели что детект IOCTL или kdmapper
Начинающий
Начинающий
- Статус
- Оффлайн
- Регистрация
- 6 Фев 2021
- Сообщения
- 100
- Реакции
- 19
Эксперт
Эксперт
- Статус
- Оффлайн
- Регистрация
- 29 Мар 2021
- Сообщения
- 1,624
- Реакции
- 626
you're insane
Пользователь
- Статус
- Оффлайн
- Регистрация
- 24 Мар 2022
- Сообщения
- 179
- Реакции
- 42
Пожалуйста, авторизуйтесь для просмотра ссылки.
Начинающий
Начинающий
- Статус
- Оффлайн
- Регистрация
- 17 Июн 2023
- Сообщения
- 23
- Реакции
- 4
ты че несёшь?
Подрастающие югеймовцы? Я на этом форуме на 3 года больше чем ты сидел. Хуйню высрал, любитель кдмаппера)
dma карта
Да въеби буткит маппер, да юзай какой нибудь .data ptr swap для коммуникации..
Или подпись купи для драйвера ) так и ioctl undetected будет)
А стоковый ioctl очевидно в детекте, если конечно аллокать память для драйвера как в кдмаппере)
А споры у вас вообще не серьезные... Вы не можете точно утверждать какой способ ud либо detected из за того что слишком много других векторов проверки eac'a, тот же nmi кокнет вас если вы поток запустите в кернеле и будете юзать очень веселые функции.
А по теме - на uc (noad) выложили physical memory writing + eac cr3 decrypting by nmi.
Или подпись купи для драйвера ) так и ioctl undetected будет)
А стоковый ioctl очевидно в детекте, если конечно аллокать память для драйвера как в кдмаппере)
А споры у вас вообще не серьезные... Вы не можете точно утверждать какой способ ud либо detected из за того что слишком много других векторов проверки eac'a, тот же nmi кокнет вас если вы поток запустите в кернеле и будете юзать очень веселые функции.
А по теме - на uc (noad) выложили physical memory writing + eac cr3 decrypting by nmi.
под .data ptr swap нужен обход
