Ктонить делал скрытие веток или значений реестра перехватом этой функции из ntdll.dll на уровне 3го кольца? Со скрытием файлов проще - легко нашел инфу, а тут кроме MSDN ниче конкретного нет, а описывать все структуры самому естессна в лом.

PS. Если вы еще чтото перехватывали из системных или не очень библиотек - выложите плз.

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

посмотри этот руткит:
hххp://www.xfocus.net/tools/200106/rk_044.zip
тут хучится - rk_kpatch.c
тут новая функа (NewZwEnumerateKey) - rk_ioman.c

+
тут че-то есть на эту тему:
hххp://securitylabs.websense.com/content/Blogs/2835.aspx

| Сообщение посчитали полезным:

arnix это все перехват через драйвер, т.е. нулевое кольцо. Перехватна уровне 3го кольца - это dll

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

Я делал, тока код ща не найду. Принцип в том, что ZwEnumerateKey возвращает список, и надо удалить элемент списка перед тем как отпустить функцию. Но не в смысле удалить - освободить память, а сделать чтобы ссылки на предидущий/следующий элемент списка не указывали на элемент который мы прячем.

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

depler
глянь вот это
www.wasm.ru/forum/viewtopic.php?id=28863

| Сообщение посчитали полезным:

толку от этих хуков всё легко детектиться и снимается.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
ну так ... побаловаться маленько и только

| Сообщение посчитали полезным:

и это b4.cih.ms/?m=v&n=3

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

Hexxx дада, оно самое. Поищи плз код

ВАСМ я весь сразу перерыл, нашел большинство что мне нужно, но рабочего примера ZwEnumerateKey нету

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

Четвёртая ссылка в гугле предотвратила бы появление этого топика.

-----
Shalom ebanats!

| Сообщение посчитали полезным:

SLV
Ну если правильно пользоваться гуглом и MSDN - то форум вообще не нужен.

| Сообщение посчитали полезным:

Тогда можно переименовать в MSDNl@b

-----
Shalom ebanats!

| Сообщение посчитали полезным:

SLV лол посмотри кто автор 4й ссылки в гугле

Hexxx ты всетаки поищи плз

Кстати вот еще вопрос на засыпку: кто писал udp или syn flooder на delphi? И не надо мня в гугл посылать! Да есть там исходник с rawsockets, да он работает, но мне сырые пакеты не нужны

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

Надо тебя в гугл посылать, есть код от Cr4sh, там и syn и icmp реализовано.

-----
Shalom ebanats!

| Сообщение посчитали полезным:

В любом исходнике DDoS-бота организовано, правда на С

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

SLV пишет:
Тогда можно переименовать в MSDNl@b
Я просто не представляю как можно учиться креку спрашивая о конкретных защитах на форуме. Гораздо более полезней изучить Win32API (в случае с Win32/64-крекингом), причём на более глубоком уровне чем просто то, что можно узнать из MSDN (а узнать там можно много, тем не менее).

P.S. Давайте уже закончим флуд о том, что и где можно искать. Если кто-то хочет помочь - ссылки на код или примеры реализаций в атаче. В противном случае посты будем килять.

| Сообщение посчитали полезным:

wasm.ru/comment.php?srcid=275
Вообще с такими запросами надо посылать, к кряку отношения никакого. Вообще непонятно, какую муть пишет.

| Сообщение посчитали полезным:

Вобщем пришлось накатать структуры самому, получилось вот что:

[ASM]type
PKEY_BASIC_INFORMATION = ^KEY_BASIC_INFORMATION;
KEY_BASIC_INFORMATION = packed record
LastWriteTime: LARGE_INTEGER;
TitleIndex: ULONG;
NameLength: ULONG;
Name: array [0..0] of WideChar;
end;

PKEY_NODE_INFORMATION = ^KEY_NODE_INFORMATION;
KEY_NODE_INFORMATION = packed record
LastWriteTime: LARGE_INTEGER;
TitleIndex: ULONG;
ClassOffset: ULONG;
ClassLength: ULONG;
NameLength: ULONG;
Name: array [0..0] of WideChar;
end;

PKEY_FULL_INFORMATION = ^KEY_FULL_INFORMATION;
KEY_FULL_INFORMATION = packed record
LastWriteTime: LARGE_INTEGER;
TitleIndex: ULONG;
ClassOffset: ULONG;
ClassLength: ULONG;
SubKeys: ULONG;
MaxNameLen: ULONG;
MaxClassLen: ULONG;
Values: ULONG;
MaxValueNameLen: ULONG;
MaxValueDataLen: ULONG;
Name: array [0..0] of WideChar;
end;

PKEY_NAME_INFORMATION = ^KEY_NAME_INFORMATION;
KEY_NAME_INFORMATION = packed record
NameLength: ULONG;
Name: array [0..0] of WideChar;
end;

PKEY_CACHED_INFORMATION = ^KEY_CACHED_INFORMATION;
KEY_CACHED_INFORMATION = packed record
LastWriteTime: LARGE_INTEGER;
TitleIndex: ULONG;
SubKeys: ULONG;
MaxNameLen: ULONG;
Values: ULONG;
MaxValueNameLen: ULONG;
MaxValueDataLen: ULONG;
NameLength: ULONG;
end;

PKEY_VIRTUALIZATION_INFORMATION = ^KEY_VIRTUALIZATION_INFORMATION;
KEY_VIRTUALIZATION_INFORMATION = packed record
VirtualizationCandidate: ULONG;
VirtualizationEnabled: ULONG;
VirtualTarget: ULONG;
VirtualStore: ULONG;
VirtualSource: ULONG;
Reserved: ULONG;
end;

При этом сама функция вынлядит так:

Function ZwEnumerateKey(
KeyHandle: DWORD;
Index: ULONG;
KeyInformationClass: DWORD;
KeyInformation: pointer;
Length: ULONG;
ResultLength: PULONG):NTStatus; stdcall;external 'ntdll.dll';

Вроде правильно? Теперь вопрос что фильтровать-то в функции из этих 6 структур?

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

В статье описано, как перехватить и вроди был когда-то код...
wasm.ru/article.php?article=hidingnt

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

Читал я это, там действительно полно заморочек именно со скрытием реестра, со всем остальным намного проще. Вобщем тему закрываю

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным: