Начинающий
Начинающий
- Статус
- Оффлайн
- Регистрация
- 13 Фев 2026
- Сообщения
- 209
- Реакции
- 5
Народ, кто сейчас ковыряет драйвера под Eac/Vgk, гляньте, что нарыл. Чел выкатил неплохую базу по хукам через trap frame, может пригодиться тем, кто хочет разобраться, как именно работает перехват в KiSystemCall64 на x64.
Техническая справка:
Коротко по фактам:
Сурс не претендует на звание "андетект прямо из коробки" — это скорее обучающий материал для тех, кто хочет понять внутреннюю кухню. Если будете дебажить, помните про Vgk, он такие приколы сечет на раз-два, так что на основе даже не думайте запускать. Нужен как минимум нормальный маппинг и чистка структуры драйвера, иначе словите пермач по железу еще до входа в катку.
Ссылки:
Короче, тема чисто для ознакомления и тестов на виртуалках. Кто уже пробовал прокидывать хуки через этот метод — отпишитесь, как сейчас с проверками целостности в последних апдейтах? Есть ли смысл допиливать под Ring0 или лучше уходить в DMA и не мучить проц?
Техническая справка:
- Внутри хука мы цепляем указатель на наш буфер прямо из trap frame.
- Rdx выступает в роли второго аргумента, где и лежит нужный указатель.
- Весь этот механизм завязан на том, как ядро заполняет стек при системном вызове.
Коротко по фактам:
Сурс не претендует на звание "андетект прямо из коробки" — это скорее обучающий материал для тех, кто хочет понять внутреннюю кухню. Если будете дебажить, помните про Vgk, он такие приколы сечет на раз-два, так что на основе даже не думайте запускать. Нужен как минимум нормальный маппинг и чистка структуры драйвера, иначе словите пермач по железу еще до входа в катку.
Код:
// Базовый пример хука через KiSystemCall64
// Rdx берет адрес нашего буфера
// Дальше работа с памятью через чтение trap frameСсылки:
Короче, тема чисто для ознакомления и тестов на виртуалках. Кто уже пробовал прокидывать хуки через этот метод — отпишитесь, как сейчас с проверками целостности в последних апдейтах? Есть ли смысл допиливать под Ring0 или лучше уходить в DMA и не мучить проц?
