Вот читаю тут темы - патчи, снова патчи и опять патчи(они называют хуками почемуто, хотя не шадов). И я подумал - было бы не плохо запилить защиту от этого. В ядре можно конечно MmSecureVM() потыкать, в юзермоде тоже не сложно - заменить память на RE проекцию не файловой секции. Идея хотя и баян, но работает чудесно. Мапим секцию два раза и юзаем две проекции одной секции - это будет гораздо сложнее обойти, ибо запись в две проекции хардварная и одновременная. Тогда отвалятся все костыли портящие код. Интересно мнение по этому поводу.

| Сообщение посчитали полезным:

bowrouco

Приложения могут использовать перехваты внутри себя же для своих нужд.
Если уж заговорили о патчгарде, то это х64, а там при прочих равных условиях малварь работает из-под ограниченной уаком учетки (если не заполучила админа конечно), а авер работает с драйвером-фильтром. Ему пофигу на перехваты малвари.

Далее имеем модульный подход - загружаются длл, например baseA и дополнительные длл sub1, sub2, которые правят шлюзы-переходники в baseA на себя и это легитимный системный метод. Что тогда? Подмена секции приведет к тому что sub1 и sub2 не смогут выполнить инициализацию и программа рухнет либо будет работать некорректно. Т.е. лично мне перспективы применения этого метода видятся очень туманными, хотя он и выглядит интересным с теоретической точки зрения.

| Сообщение посчитали полезным:

Alchemistry

Назовите легальную софтину которая мне нужна и портит модуля. Такой софт вредоносный и должен быть випилен на корню, что и делают тулзы типа рку. Если использовать этот механизм, то всё юзермодное дерьмо, вся грязь отвалится.

| Сообщение посчитали полезным:

bowrouco

Мне почем знать то что тебе нужно?

Защита модулей от порчи всяким говнокодом? Она уже встроенна и называется система безопасности NT. Если за компом сидит идиот, то ему не поможет ничего, включая этот костыль - у него всегда будет зоопарк. И еще раз тот же самый пример, ты либо читал по диагонали либо вообще пропустил.

Патч это легальный механизм, используемый в том числе самой системой. Не его беда и проблема в том что он юзается малварью. Ты предлагаешь сделать этот механизм неработоспособным при помощи хака при этом совершенно не задумываясь о совместимости с существующим софтом.

| Сообщение посчитали полезным: ntldr, GoldenJoe

Alchemistry

Я думаю что заюзав это, вы останетесь совершенно без возможности что либо контролировать. Ибо у вас всё запилено на такие механизмы вредоносные. Я только за, странно почему мс это не юзает. Давно нужно было выпилить. Я даже не поленюсь, соберу простейшую тулзу. Почти вся малварь вывалится, кстате вместе с вашими кодесами

| Сообщение посчитали полезным:

Отвалится Plugin фаервол в Firefox, некоторые модули Google Chrome, некоторые плагины Opera. А тулзу вашу инде, никто юзать не будет, т.к. ни вы ни она никому не нужны, ибо клоуны родят только клоунов. Аминь.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

bowrouco

Стандартненько Инде, уже даже не интересно. Как только аргументы у тебя заканчиваются оппоненты тут же записываются в ряды гнусных аверов, строящих козни тру vx-рам. Ей богу заканчивай уже с этими высерами аля AV vs VX, нет никакого противостояния уже давно, дети выросли - это теперь просто чистый бизнес.

bowrouco пишет:
Я только за, странно почему мс это не юзает.

Потому что это хак. Причем хак, нарушающий работу системного механизма. Еще раз для тех кто на бронепоезде - патч это системный механизм, поддерживаемый мс (не надо фантазировать насчет патчгарда - его задача ограничить безконтрольное использование этого механизма всяким говнокодом, а не выпилить его полностью). В мс патчами занимается целое исследовательское подразделение, и твои антисистемные фантазии там встретят только хохотом.

Я даже не поленюсь, соберу простейшую тулзу.

Успехов, также ждем как и твою тру приват книгу, что ты пишешь второй год.

PE_Kill

Ага, возникнут еще проблемы с некоторыми медиапроигрывателями и т.д.

| Сообщение посчитали полезным:

Alchemistry

Что не интересно, вы по вопросу темы ничего не сказали. На счёт патча - вы наверно перепутали с заплатками или апдейтами. Я говорил про изменение кодосекций модулей. Почему то многим не нравится когда на диске модуля портят инфектом, в мапяти тоже не тру. Во первых какой юзер будет разбираться в выдаче того же гмера - выпиливается сразу всё негодное.

| Сообщение посчитали полезным:

bowrouco пишет:
о первых какой юзер будет разбираться в выдаче того же гмера - выпиливается сразу всё негодное.
Какой юзер знает что такое гмер?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

bowrouco

Что не по теме? Ты уже n-ный пост толочешь воду в ступе. Я тебе ясно привел пример когда твой костыль убьет легимную программу, а ты даже не удосужился до сих пор это прочитать. Все примеры были именно связаны с кодосекциями. Блджад, такое ощущение, что разговариваешь с глухим. Твой метод представляет чисто теоретический интерес - защищать им все подряд не только невозможно, но и вредно. Ну согласен в какой-нить говнопротектор это еще можно впилить. Аффтар потом будет долго иметь секс с поддержкой, ну да и хер с ним

bowrouco пишет:
Во первых какой юзер будет разбираться в выдаче того же гмера - выпиливается сразу всё негодное.

Какой гмер, что это за хня? Ты че считаешь малварь состоит на 99% из того что использует патчи?

Давай так, скажи области применения этого метода - такие какие видишь ты.
С подробными примерами. Вот это и обсудим, чтобы конкретика была.

| Сообщение посчитали полезным:

Alchemistry

Да признайте уже что вы не на что не годны, кроме как портить модуля

| Сообщение посчитали полезным:

bowrouco

Твой слив засчитан.

Некоторые конкретные примеры твоего слива в этом топике.

Ты не ответил и/или ушел от ответа на вопросы о несовместимости со своим костылем.
Ты не ответил и/или ушел от ответа почему это вдруг системный механизм, поддерживаемый разработчиком ОС, оказался "негодным"
Ты отказался что-либо обсуждать в конкретике свалив дискуссию в свой фирменный "я дартаньян, а вы говно признайте это"

Про твои дилетанские высеры о малвари я вообще промолчу, тут коментить просто нечего.

Продолжать что-либо обсуждать с тобой смысла нет. Не удивляйся теперь почему на твой форум никто не идет и не пойдет, а тебя мурыжат на всех остальных.

Однако спасибо тебе за интересный пример теории, который так и останется чистой теорией и на этом тема для меня закрыта.

p.s.
Элитой становятся не когда всем орут на каждом углу, что "я элита", а когда о тебе начинают положительно отзываться шарящие люди, т.е. признание, основанное на конкретных практических достижениях - стать элитой флудерастией говнокодом на форумах с последующими перманентными срачами нельзя.

| Сообщение посчитали полезным: hlmadip, PE_Kill, 12usver12

К вашему сожалению слив годно робит, вся малварка отваливается. Ставим нотифи в нтлдр и любая попытка изменить svсhost завершается с фейлом. Можно не опасаясь смореть порево
Дядя женя ушёл отдыхать в несколько десяток строк

| Сообщение посчитали полезным:

Clerk

К нашему сожалению, ты как был дураком так им и остаёшься в независимости от профиля. Для особо глухой и слепой илиты - читаем посты 1 стр - #18, 2 стр - #2, #6, #7, #10, #12, выполняем цикл до полного просветления. Если оно не достигнуто - валим на свой илитный уютный форумчег и постим свои высеры с говнокодом только там.

| Сообщение посчитали полезным:

Alchemistry

Вы негодуете потому что вы не можите сий механизм обойти и следовательно ваши поделки не робят. Так то

| Сообщение посчитали полезным: