Написал на днях перехватчик NtWriteVirtualMemory - решил посмотреть куда читы пишут свои грязные дела, мб кому пригодится
|
Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 5 сообщение(ий)):
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.
|
HuntsMan
Не умеет, он может палить простой перехват API ака сплайсинг или API Hijacking
PS : в 3 части пакета 03, мы передаем ссылку на адрес функции (для тайминг чека), и модуль использует эту функцию(можно передавать и из дллок типа kernel32.dll, а так же адресовать любую функцию из базовой памяти
)(если нету, вызывает свою GetTickCount) и ложит результат в пакет 02 обозначая его как TickCount. Эх, жаль нельзя передавать аргументы, так и видится VirtualAlloc/VirtualAllocEx -> WriteProcessMemory -> CreateThread/CreateRemoteThread