Как сделать неперехватываемый вызов?

Сейчас на форуме: _MBK_, tyns777, UniSoft (+11 невидимых)

Посл.ответ	Сообщение
Skino Ранг: 20.4 (новичок), 1thx Активность: 0.03↘0 Статус: Участник	Создано: 27 июля 2012 07:09 · Личное сообщение · #1 Вообщем в жертве стоят хуки на некоторые функции из ntdll. Как сделать так вызов что бы обойти эти хуки? Слышал про копию ntdll в каждом процессе, мб туда перенаправлять? Или хранить аналог у себя в коде? Вообщем у кого какие идею слушаю. Приму любую помощь.

Alchemistry Ранг: 145.8 (ветеран), 191thx Активность: 0.14↗0.36 Статус: Участник	Создано: 27 июля 2012 07:39 · Личное сообщение · #2 Вызвать напрямую через sysenter/int2e. Победа.
ZaZa Ранг: 158.5 (ветеран), 219thx Активность: 0.12↘0.01 Статус: Участник	Создано: 27 июля 2012 07:39 · Поправил: ZaZa · Личное сообщение · #3 Может проверять начало процедуры/функций и если не совпадает с оригинальной точкой входа в процедуру/функцию, тада менять на оригинальную, а после вызова возвращать все назад? ----- One death is a tragedy, one million is a statistic.
Skino Ранг: 20.4 (новичок), 1thx Активность: 0.03↘0 Статус: Участник	Создано: 27 июля 2012 08:54 · Личное сообщение · #4 Code: void __declspec(naked) FastSystemCall() { __asm MOV EDX, ESP __asm __emit 0x0F __asm __emit 0x34 // возврат будет в ntdll.KiFastSystemCallRet, там находится только RETN и мы как раз выйдем отсюда в SysenterZwReadFile } void __declspec(naked) SysenterZwReadFile(...) { __asm MOV EAX, 0xB7 __asm CALL FastSystemCall __asm RETN } void __declspec(naked) IntSystemCall() { __asm LEA EDX, DWORD PTR SS:[ESP+0x08] __asm INT 0x2E __asm RET } void __declspec(naked) Int2eZwReadFile(...) { __asm MOV EAX, 0xB7 __asm CALL IntSystemCall __asm RETN } Странно но у меня почему то неработает, при трассировке команды работают как NOP.
Skino Ранг: 20.4 (новичок), 1thx Активность: 0.03↘0 Статус: Участник	Создано: 27 июля 2012 08:55 · Личное сообщение · #5 ZaZa пишет: Может проверять начало процедуры/функций и если не совпадает с оригинальной точкой входа в процедуру/функцию, тада менять на оригинальную, а после вызова возвращать все назад? Это мне и нужно как раз обойти.
ZaZa Ранг: 158.5 (ветеран), 219thx Активность: 0.12↘0.01 Статус: Участник	Создано: 27 июля 2012 09:19 · Личное сообщение · #6 Видимо я что-то не понимаю... Хуки чьи? Твои или чужой программы? Если чужой проги, тада может восстановить оригинальную точку входа (отменить хук программы), сделать вызов, вернуть хук на место... Может так понятнее?? ----- One death is a tragedy, one million is a statistic.
Skino Ранг: 20.4 (новичок), 1thx Активность: 0.03↘0 Статус: Участник	Создано: 27 июля 2012 11:16 · Личное сообщение · #7 Стоят чужие хуки, которые чекаются, но я уже разобрался, спасибо за наводку.

Для печати