C++ [Driver] a fully featured KM driver ready to use for your external

[morphe-ya]

ты опять немного уходишь от сути речь была не про создание драйвера а про ioctl как способ коммуникации между юзермодом и кернелмодом
да IoCreateDriver может триггернуть ETW и добавить объект в PsLoadedModuleLis это очевидно но это не часть самого ioctl это вопрос того как и чем драйвер грузится

если ты уже работаешь с драйвером у которого DeviceObject создан и он корректно замаплен то ioctl просто способ обращения к нему
а дальше уже все зависит от реализации хочешь сделай батч хочешь пиши через shared memory детектится не ioctl а контекст в котором он используется
так что мой пойнт остается в силе ioctl сам по себе не дает дополнительного детекта это просто механизм вызова

но чтобы корректно замаппить драйвер, чтобы у тебя были не нулевые аргументы ( или же не просто базовый адрес с размером ), чтобы тебе не приходилось вызывать io create driver и прочее дерьмо, то тебе надо будет купить подпись / сделать hijack иостл хендлера легитного драйвера, а это уже совсем другое направление

 

[learncpp]

но чтобы корректно замаппить драйвер, чтобы у тебя были не нулевые аргументы ( или же не просто базовый адрес с размером ), чтобы тебе не приходилось вызывать io create driver и прочее дерьмо, то тебе надо будет купить подпись / сделать hijack иостл хендлера легитного драйвера, а это уже совсем другое направление

ну вот ты сам и подтвердил мою мысль
проблема не в ioctl как механизме общения а в том как именно ты грузишь драйвер и реализуешь DeviceObject хоть подпись хоть hijack хоть левый легит драйвер это уже все вопросы обхода античита и реализации
а сам по себе ioctl просто интерфейс как ты его используешь уже на тебе он не "опаснее" и не "медленнее" других вариантов по умолчанию все зависит от контекста

 

[morphe-ya]

ну вот ты сам и подтвердил мою мысль
проблема не в ioctl как механизме общения а в том как именно ты грузишь драйвер и реализуешь DeviceObject хоть подпись хоть hijack хоть левый легит драйвер это уже все вопросы обхода античита и реализации
а сам по себе ioctl просто интерфейс как ты его используешь уже на тебе он не "опаснее" и не "медленнее" других вариантов по умолчанию все зависит от контекста

но и при этом ты согласился в том, что при создании коммуникации могут возникать детект векторы и в 99% случаях, вследствие этого как раз-таки отлетают юзеры

я просто не понял смысла агрессии в мою сторону, когда ты в дальнейшем согласился с моим тейком

 

[learncpp]

но и при этом ты согласился в том, что при создании коммуникации могут возникать детект векторы и в 99% случаях, вследствие этого как раз-таки отлетают юзеры

я просто не понял смысла агрессии в мою сторону, когда ты в дальнейшем согласился с моим тейком

согласен ты прав детект векторы действительно почти всегда завязаны на то как организована коммуникация просто мы немного в разные стороны смотрели ты с точки зрения античита я с точки зрения чистой механики общения
так что тут реально не повод спорить я не отрицал что плохая реализация(или банальный IoCreateDriver) может триггернуть ETW и прочее просто сам ioctl как вызов не "дыра" а инструмент а вот как ты им пользуешься уже совсем другая история

 

[morphe-ya]

согласен ты прав детект векторы действительно почти всегда завязаны на то как организована коммуникация просто мы немного в разные стороны смотрели ты с точки зрения античита я с точки зрения чистой механики общения
так что тут реально не повод спорить я не отрицал что плохая реализация(или банальный IoCreateDriver) может триггернуть ETW и прочее просто сам ioctl как вызов не "дыра" а инструмент а вот как ты им пользуешься уже совсем другая история

вот теперь я с тобой согласен, но в любом случае, не стоит проявлять агрессию в дальнейшем.