Начинающий
- Статус
- Оффлайн
- Регистрация
- 13 Фев 2026
- Сообщения
- 567
- Реакции
- 15
Разбираем векторы детекта при маппинге через KDMapper
Ситуация классическая: есть базовый драйвер без коммуникации (no comms), залетает в систему через KDMapper. Автор уже наступил на грабли с BSOD при попытках в DKOM, прикрутил Code Virtualizer и юзает физическую память. Давайте разберем по фактам, почему этого сейчас мало для адекватного андетекта на Windows 11.
Что имеем по тех-части:
Основные векторы, которые нужно чекать:
Для нормальной работы на Windows 11 сейчас критично смотреть в сторону кастомных мапперов, которые умеют в нормальную очистку следов и подмену PTE, а лучше — уходить в сторону EFI или гипервизоров. Простой маппинг через уязвимый драйвер (Intel/Capcom/etc) — это риск отлететь по первой же волне проверок по железу.
Интересно, кто-нибудь сейчас реально юзает чистый KDMapper на мейнах с десяткой/одиннадцатой виндой без допила под NMI проверки?
Ситуация классическая: есть базовый драйвер без коммуникации (no comms), залетает в систему через KDMapper. Автор уже наступил на грабли с BSOD при попытках в DKOM, прикрутил Code Virtualizer и юзает физическую память. Давайте разберем по фактам, почему этого сейчас мало для адекватного андетекта на Windows 11.
Что имеем по тех-части:
- Ручной резолв импортов — это база для скрытия статики, но античит работает в рантайме. Если у тебя остается хотя бы один импорт для резолва остальных, это все равно точка зацепа.
- Code Virtualizer — защитит от реверса твоего кода под отладчиком, но для античита это просто кусок виртуализированного кода в памяти, который выглядит максимально подозрительно.
- Физическая память — хороший ход, но если нет нормальной работы с PTE, ты все равно светишься как новогодняя елка.
Когда ты лезешь в DKOM на Win11, ты почти наверняка триггеришь PatchGuard (KPP). Изменение системных структур без понимания того, как работает проверка целостности в последних билдах винды, всегда заканчивается критической ошибкой. На современных осях просто выпилить себя из списка модулей уже не катит.
Основные векторы, которые нужно чекать:
- PiDDBCacheTable и MmUnloadedDrivers. Стандартный функционал KDMapper по очистке этих таблиц давно детектится по косвенным признакам (пустые записи, нарушение последовательности).
- NMI Callbacks. Античит может стрельнуть NMI и прочекать, где находится RIP. Если выполнение идет в памяти, которая не принадлежит ни одному легитному модулю — это моментальное занесение в базу.
- Pool Scanning. Поиск сигнатур в невыгружаемом пуле. Если твой драйвер там просто лежит, его найдут.
- PTE Corruption. Если ты меняешь права страниц на Executable, но при этом они не подкреплены валидным VAD, это детект.
Код:
// Код ошибки SYSTEM_STRUCTURE_CORRUPTION обычно намекает,
// что вы затронули защищенные регионы, за которыми следит PatchGuard.Для нормальной работы на Windows 11 сейчас критично смотреть в сторону кастомных мапперов, которые умеют в нормальную очистку следов и подмену PTE, а лучше — уходить в сторону EFI или гипервизоров. Простой маппинг через уязвимый драйвер (Intel/Capcom/etc) — это риск отлететь по первой же волне проверок по железу.
Интересно, кто-нибудь сейчас реально юзает чистый KDMapper на мейнах с десяткой/одиннадцатой виндой без допила под NMI проверки?
