Чем Протектить?

[qualitycontentmaker]

вак не додумается!

Ваку просто похер на тебя и твоих 10 юзеров :tearsofjoy:, да и вмт хуки детектнуть додумались

 

[P45H3]

вак не додумается!

Конечно блядь не додумаются)
Это же ебать сложно хукнуть функцию не из кернел32 , а из нтдлл

делаешь прототип функции (аргументы смотришь на любом сайте с описанием,хоть тот же msdn) и вызываешь ее из длл,обычно ntdll.dll
пример :

_RtlCreateThreard _rtl_create_thread = (_RtlCreateThreard)GetProcAddress(GetModuleHandle("ntdll.dll"), "RtlCreateUserThread");
                                                                      
                                                                      
HANDLE RtlCreateUserThread(
    HANDLE hProcess,
    LPVOID lpBaseAddress,
    LPVOID lpSpace
)
{ 
    HANDLE hRemoteThread = NULL;

    if (!_rtl_create_thread)
    {
        return NULL;
    }

    _rtl_create_thread(hProcess, NULL, 0, 0, 0, 0, lpBaseAddress, lpSpace, &hRemoteThread, NULL);
    return hRemoteThread;
}

Ты думаешь, вызвав функцию из нтдлл ты написал нативный инжектор?
Это тоже самое, что и двойной кернелмод в языке стд от гаспаряна

 

[Blick1337]

SweetMomProtector, лучший протектор эвер. Благодаря нему миднайт не банится ваком теперь!

 

[coder.]

Конечно блядь не додумаются)
Это же ебать сложно хукнуть функцию не из кернел32 , а из нтдлл


Ты думаешь, вызвав функцию из нтдлл ты написал нативный инжектор?
Это тоже самое, что и двойной кернелмод в языке стд от гаспаряна

я не говорил,что инжект сразу станет нативным.
Просто если логически рассуждать,то ,допустим, вак хукает обычный CreateThread который потом обращается к RCT или ZwCT,но не хукает их самих,а значит,что безопаснее потоки создавать уже именно из последней функции ,нежели чем через из самой первой (по ветви обращения). Логично?Если нет,то поправьте.

 

[coder.]

Ваку просто похер на тебя и твоих 10 юзеров :tearsofjoy:, да и вмт хуки детектнуть додумались

Ставишь пару фишек на ,допустим,протектмемори и мемкопи и похуй ваще.

 

[MeliodasAverrage]

SweetMomProtector, лучший протектор эвер. Благодаря нему миднайт не банится ваком теперь!

А хули взял запустил, Монитор Перекрестил ,иконку постовил под моником и всё ВАК/БЕ/ЕАС обход!

 

[MeliodasAverrage]

Конечно блядь не додумаются)
Это же ебать сложно хукнуть функцию не из кернел32 , а из нтдлл


Ты думаешь, вызвав функцию из нтдлл ты написал нативный инжектор?
Это тоже самое, что и двойной кернелмод в языке стд от гаспаряна

Хукай мля!
Покажи как бы ты это сделал!
Человек тут хоть решение попытался показать а ты ток на словах токой дэрзкий!

 

[qualitycontentmaker]

Хукай мля!
Покажи как бы ты это сделал!
Человек тут хоть решение попытался показать а ты ток на словах токой дэрзкий!

Пиши сразу уж "дайте пасту" :tearsofjoy:

 

[P45H3]

Хукай мля!
Покажи как бы ты это сделал!
Человек тут хоть решение попытался показать а ты ток на словах токой дэрзкий!

Что тебе дать? Код, который хукает ntdll експорт или что?

я не говорил,что инжект сразу станет нативным.
Просто если логически рассуждать,то ,допустим, вак хукает обычный CreateThread который потом обращается к RCT или ZwCT,но не хукает их самих,а значит,что безопаснее потоки создавать уже именно из последней функции ,нежели чем через из самой первой (по ветви обращения). Логично?Если нет,то поправьте.

Да без разницы в принципе. Попробуй вообще через QueueUserApc загрузчик запускать.