Начинающий
- Статус
- Оффлайн
- Регистрация
- 13 Фев 2026
- Сообщения
- 721
- Реакции
- 18
Вкатываюсь в kernel-программирование, пишу временный спуфер и столкнулся с классической проблемой при подмене данных.
Суть ситуации:
Когда меняю таблицы SMBIOS в ядре, всё проходит гладко. Если чекать через дебаг-принты — значения заменяются на нужные. Однако, если запрашивать серийники через WMIC в юзермоде, он всё равно выдает старые данные.
Понятно, что инфа кэшируется. Выяснил, что рестарт службы Winmgmt заставляет систему обновить данные, и тогда WMIC выдает уже подмененные серийники. Но рестарт системных сервисов — это максимально палевный мув, который оставляет кучу трейсов.
Собственно, вопросы:
Интересно послушать тех, кто уже набивал шишки на кэшировании WMI и знает, как обойти эти проверки без лишнего шума в системе. Предложения по ручному патчингу структур в памяти приветствуются.
Суть ситуации:
Когда меняю таблицы SMBIOS в ядре, всё проходит гладко. Если чекать через дебаг-принты — значения заменяются на нужные. Однако, если запрашивать серийники через WMIC в юзермоде, он всё равно выдает старые данные.
Понятно, что инфа кэшируется. Выяснил, что рестарт службы Winmgmt заставляет систему обновить данные, и тогда WMIC выдает уже подмененные серийники. Но рестарт системных сервисов — это максимально палевный мув, который оставляет кучу трейсов.
Собственно, вопросы:
- Какие конкретно логи или артефакты оставляет перезапуск Winmgmt, за которые могут зацепиться серьезные античиты (EAC, BE)?
- Есть ли более чистый способ форснуть обновление кэша WMI без полной остановки и старта службы?
- На что еще стоит обратить внимание при очистке следов после такой манипуляции?
Рестарт сервиса фиксирует изменение состояния в Event Viewer и может триггернуть проверку целостности окружения. Если спуфер позиционируется как UD, такие костыли недопустимы. Нужно решение, которое позволит обновить репозиторий WMI более скрытно.
Интересно послушать тех, кто уже набивал шишки на кэшировании WMI и знает, как обойти эти проверки без лишнего шума в системе. Предложения по ручному патчингу структур в памяти приветствуются.