Подписывайтесь на наш Telegram и не пропускайте важные новости! Перейти
Что нового?

Вопрос Как детектить прямые сисколы

KVANTOR815
malware
EXCLUSIVE
KVANTOR815
EXCLUSIVE
Статус
Оффлайн
Регистрация
21 Июн 2025
Сообщения
137
Реакции
28
С


Как можно детектить прямые сисколы, HWDB хуки особо не помогут.

Я хотел попробовать реализовать сканирование памяти на 0F 05 байты, но не нашел на гите ниче подобного, может у кого то код будет или альтернативные идеи, буду благодарен.
 
Если речь только про UM (User-mode) x64, то этим может заниматься instrumentation callback пример реализации и простого использования можешь найти
Пожалуйста, авторизуйтесь для просмотра ссылки.
. Но нюанс такого метода, что ты чаще всего не можешь узнать с каким индексом вызывался сискол. Если же твоё приложение имеет 32-битную разрядность, то можно установить хук на Wow64Transition, тут уже у тебя будет больше информации.

А вот в KM (Kernel-mode) появляется конечно больше простора, тот же обработчик KiSystemCall позволит обрабатывать сисколы вызванные из UM. Но, как известно, некоторые забавные вещи уголовно наказуемы, так что для прямых хуков понадобится отключение патчгуарда.
 
Последнее редактирование:
1768764697691.png

щас бы гидры поюзать
 
mhalaider написал(а):
Если речь только про UM (User-mode) x64, то этим может заниматься instrumentation callback пример реализации и простого использования можешь найти
Пожалуйста, авторизуйтесь для просмотра ссылки.
. Но нюанс такого метода, что ты чаще всего не можешь узнать с каким индексом вызывался сискол. Если же твоё приложение имеет 32-битную разрядность, то можно установить хук на Wow64Transition, тут уже у тебя будет больше информации.

А вот в KM (Kernel-mode) появляется конечно больше простора, тот же обрарботчик KiSystemCall позволит обрабатывать сисколы вызванные из UM. Но, как известно, некоторые забавные вещи уголовно наказуемы, так что для прямых хуков понадобится отключение патчгуарда.
Нажмите для раскрытия...
Первое будто бы довольно муторное занятие с имеющимся минусами

Тогда уж да, более рациональным решением будет на кернел левел перейти, там возможностей да побольше
 
TheXSVV написал(а):
и? так ты попробовать хотел или спиздить реализацию с гитхаба? действительно такой подход существует и работает
Нажмите для раскрытия...
Посмотреть на саму реализацию, потом уже попытаться что-то свое реализовать
 

Похожие темы

TolTolik
Вопрос В какой сфере двигаться?
2
Ответы
29
Просмотры
1K
HeByPeK
H
r3z
Вопрос Создание собственного чита. С чего начать?
Ответы
13
Просмотры
1K
obema23
O
colby57
Гайд [Reverse-Engineering] Как взламывался FATALITY
2
Ответы
35
Просмотры
11K
f33nRy
f33nRy
Ahora_technology
Гайд UM хуки и их проблемы
Ответы
9
Просмотры
3K
dxvxlxsh
dxvxlxsh
roflan plakich
Вопрос Как бороться с динамической памятью и GC в Java? (external)
Ответы
2
Просмотры
682
roflan plakich
roflan plakich
Немного о главном
Полезные мелочи
О нас

Проект предоставляет различный материал, относящийся к сфере киберспорта, программирования, ПО для игр, а также позволяет его участникам общаться на многие другие темы. Почта для жалоб: admin@yougame.biz

Поделиться страницей
Назад
Сверху Снизу