Начинающий
- Статус
- Оффлайн
- Регистрация
- 13 Фев 2026
- Сообщения
- 347
- Реакции
- 7
Наткнулся на интересный проект для ручного маппинга, который юзает методы поинтереснее стандартных OpenProcess и CreateRemoteThread. Автор реализовал концепт, который обходит классические хуки в user-mode.
Основные фишки:
Техническая заметка:
Процесс энумерации идет через NtQuerySystemInformation, что вполне стандартно, но рабоче. Исходник заточен под инжект в обычные процессы типа notepad.exe или obs64.exe. Сразу предупреждаю — для игр с нормальными античитами это решение не подходит, сигнатуры и поведение потоков вмиг улетят в базу мониторинга. Юзать только для обучения и тестов собственного софта.
Кто уже успел потестить на совместимость с разными версиями Windows?
Пожалуйста, авторизуйтесь для просмотра ссылки.
Основные фишки:
- Handle hijacking: дублирует существующий хендл из csrss, избегая прямого вызова OpenProcess.
- Thread hijacking: подмена ожидающего потока вместо использования CreateRemoteThread.
- Полный PE-лоадер на шеллкоде: отрабатывает релоки, импорты, TLS и entry point.
- Чистка: затирание хедера и самого шеллкода в памяти после завершения инжекта.
- Fixup: корректная установка прав доступа к секциям после маппинга.
Техническая заметка:
Процесс энумерации идет через NtQuerySystemInformation, что вполне стандартно, но рабоче. Исходник заточен под инжект в обычные процессы типа notepad.exe или obs64.exe. Сразу предупреждаю — для игр с нормальными античитами это решение не подходит, сигнатуры и поведение потоков вмиг улетят в базу мониторинга. Юзать только для обучения и тестов собственного софта.
Весь основной лоджик разжеван в core.cpp. Перед сборкой убедитесь, что правильно настроен environment, чтобы избежать проблем с импортами в PE-лоадере.
Кто уже успел потестить на совместимость с разными версиями Windows?