Цитата:
Сообщение от PainNigga
Добавлю насчет "движка" перехватов, считаю что его можно победить только с использованием таких утилит, как Rootkit Unhooker/IceSword , данные программы способны снимать Kernel Mode хуки, т.к грузят драйвер в ядро (при запуске) и требуют прав администратора. Если судить логично, то хуки моей защиты они снимут легко, так как работают из ядра.
|
А зачем снимать? На просторах, в каком то блоге, видел готовый двиг для сплайса(и там же описание, как работать из под кернеля). Достаточно того, что внутри он - двигал твой хук в свободное место между функциями(в безопасное место, во избежание фатала), и ставил свой
Если найду повторно, скину.
Точней даже не двигал, а круче - искал дефолтные адреса функций, записывал, смотрел и искал хуки, если есть - двигал, восстанавливал функцию, сплайсил. Дальше хук и вперед