 |
eXeL@B —› Программирование —› Хуки или CodeCave на пакеты |
| Посл.ответ | Сообщение |
|
|
Создано: 22 мая 2011 14:40 · Личное сообщение · #1 Исследую целевой, там наблюдается очень интересная защита, принцип работы, процесс постоянно обменивается пакетами, в процессе есть защитная дллка, с 2мя потоками (+потоки от темиды), если засуспендить все потоки от этой дллки то целевой процесс просто не принимает пакеты (видимо и не отправляет), проблема в том что не могу понять как так это всё работает, есть варианты: вариант что в дллке стоит хук на пакеты, где в хуке идёт проверка на валидность патока, или есть просто небольшой CodeCave на адресном пространстве самой проги где уже вызов процедуры на отправку пакетов. Вообщем нужно узнать стоят ли хуки, или есть ли какие CodeCave, выслушаю любые варианты. Предлагаем решения.  |
|
|
Создано: 22 мая 2011 14:53 · Личное сообщение · #2 Софта нет, из описания непонятно вообще ничего, по типу: у меня что-то не работает, а дальше гадание на кофейной гуще. Я хз, что тут можно внятного ответить. Хуки всякими руткит анхукерами/гмером можно поглядеть. А поможет ли это-хз. |
|
|
Создано: 22 мая 2011 18:37 · Личное сообщение · #3 +1, с каждым годом вопросы на форуме всё больше походят на бред сумасшедшего. ----- Yann Tiersen best and do not fuck | Сообщение посчитали полезным: ajax |
|
|
Создано: 23 мая 2011 15:58 · Поправил: gloomdemon · Личное сообщение · #4 Skino А как процесс обменивается пакетами? Через почту России? Или через fedex? Как вариант нужно проследить за почтальоном. |
|
|
Создано: 24 мая 2011 02:37 · Личное сообщение · #5 Поясню: Когда я уничтожаю поток DLL то целевой процесс, куда была загружена DLL перестаёт корректно работать, нужно посмотреть стоят ли хуки в этой DLL, для этого как я понял мне нужен руткит анхукер и гмер, дайте плз ссылочки та такие проги. |
|
|
Создано: 24 мая 2011 09:55 · Личное сообщение · #6 Гугл тебе в ссылочки, gmer и rootkit unhooker в ключевые слова. И при чём тут убийство потока и хуки, которые стоят общие на все потоки, мне не особо понятно. И до сих пор не видно никаких ссылок. Топик вообще кандидат на закрытие. |
|
|
Создано: 24 мая 2011 15:33 · Личное сообщение · #7 Skino пишет: Когда я уничтожаю поток DLL то целевой процесс, куда была загружена DLL перестаёт корректно работать "Когда я снял колеса с байка, он перестал ездить. Нужно выяснить, как он ездит вообще" 
----- От многой мудрости много скорби, и умножающий знание умножает печаль |
|
|
Создано: 24 мая 2011 18:08 · Личное сообщение · #8 крут, я тоже удивлялся когда после перевода треда(он там был 1) в спящий режим у меня вырубалась прога 
|
|
|
Создано: 25 мая 2011 00:41 · Личное сообщение · #9 ajax пишет: Skino пишет: Когда я уничтожаю поток DLL то целевой процесс, куда была загружена DLL перестаёт корректно работать "Когда я снял колеса с байка, он перестал ездить. Нужно выяснить, как он ездит вообще" Ага только до инжекта длл процесс работает в обычном режиме, когда же длл инжектится он берет её "под себя" |
|
|
Создано: 25 мая 2011 06:45 · Личное сообщение · #10 Продолжу сысль ajax'а: Skino пишет: Ага только до инжекта длл процесс работает в обычном режиме, когда же длл инжектится он берет её "под себя" Ага, до того как я ставлю свои колеса байк ездит, а когда ставлю свои байк забирает их себе. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 25 мая 2011 09:20 · Личное сообщение · #11 Закрою этот цирк. Научишься вопросы задавать-приходи. |
|
eXeL@B —› Программирование —› Хуки или CodeCave на пакеты |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати