Сейчас на форуме: asfa (+6 невидимых)

 eXeL@B —› Вопросы новичков —› AntiCD
Посл.ответ Сообщение

Ранг: 19.9 (новичок)
Активность: 0.020
Статус: Участник

 Создано: 26 мая 2009 19:18 · Поправил: Neo32
· Личное сообщение · #1

Всем доброго времени суток. Вот начал писаать одну прогу. Она позволяет запускать приложения требующие диск без его наличия и без наличия образа. Пока на самой начальной стадии, добился перехвата функций проверки диска и наличия файлов. исходники в аттаче. вопрос: возможен ли перехват функций загрузки драйвера и его эмуляция с подменой параметров. Может у кого есть инфа по функциям которые используются для определения типа носителя, инфа о том как драйвер определяет тип носителя, каким образом старфорс и другие защиты его грузят и используют?надеюсь кто нибудь поможет.

сорри за вторую тему инет тупит

37cb_26.05.2009_CRACKLAB.rU.tgz - AntiCD.zip




Ранг: 605.2 (!), 341thx
Активность: 0.470.25
Статус: Модератор
Research & Development

 Создано: 26 мая 2009 19:52
· Личное сообщение · #2

ещё нужно эмулить:
* GetFileSize
* доступ через Media Control Interface (MCI). Пример: открытие сидюка через MCI_OPEN и посыл ему mciSendCommand

-----
EnJoy!

Ранг: 19.9 (новичок)
Активность: 0.020
Статус: Участник

 Создано: 09 мая 2010 17:36 · Поправил: Neo32
· Личное сообщение · #3

Всем доброго времени суток! Всех с праздником!
Не сочтите за некропостера. Вложенный исходник упорно выдавал ошибку пока не добавил следующий код:
Code:
  1. lea      eax,[lpflOldProtect]
  2. mov           esi,[lpProcessInfo]
  3. assume   esi:PROCESS_INFORMATION
  4. invoke VirtualProtectEx,[esi.hProcess],[_NtQueryVolumeInformationFile.HookDat a.Func.OrigProc],sizeofpatch,PAGE_NOACCESS,eax

в файле AntiCD.asm в строке 428 и потом убрал его. этот баг заметил только на семерке. теперь баг больше не выскакивает. под виртуалкой изначально все было нормально.

у кого семерка протестите пожалуйста!

кто нибудь может объяснить сей баг???

p.s. вкраце создаю процесс test.exe в папке test, патчу точку входа в процедуре NtQueryVolumeInformationFile на свою процедуру и отпускаю процесс. выдает ошибку. после того как один раз изменил доступ на точке входа NtQueryVolumeInformationFile на PAGE_NOACCESS запускаемая прога больше с ошибкой не вылетает. извиняюсь если что не так объяснил я вообще в шоке как такое может быть

f807_09.05.2010_CRACKLAB.rU.tgz - AntiCD_v0303.7z



Ранг: 310.8 (мудрец), 29thx
Активность: 0.430
Статус: Участник

 Создано: 10 мая 2010 08:09
· Личное сообщение · #4

Neo32 пишет:
у кого семерка протестите пожалуйста!
При случае протестирую. Но моя интуиция подсказывает, что надо просто test.exe запускать от имени администратора. Я обнаружил, что даже некоторые файлы в 7-ке нельзя копировать без режима админа. Работаю естественно из под юзера с админской группой. Безопасность там заумная...



Ранг: 19.9 (новичок)
Активность: 0.020
Статус: Участник

 Создано: 16 мая 2010 23:30
· Личное сообщение · #5

а разве если я запускаю процесс от админа то и все что он стартует не имеет админских прав?




Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

 Создано: 17 мая 2010 03:03
· Личное сообщение · #6

Neo32 пишет:
а разве если я запускаю процесс от админа то и все что он стартует не имеет админских прав?

имеет



Ранг: 19.9 (новичок)
Активность: 0.020
Статус: Участник

 Создано: 17 мая 2010 09:36
· Личное сообщение · #7

tundra37 пишет:
что надо просто test.exe запускать от имени администратора

тогда дело не в этом так как AntiCD запускаю от админа


 eXeL@B —› Вопросы новичков —› AntiCD
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати