JIeXA Опубликовано 15 сентября, 2020 Поделиться Опубликовано 15 сентября, 2020 Собственно как защититься от того же apimonitor ReadProcessMemory WriteProcessMemory Ссылка на комментарий Поделиться на другие сайты Поделиться
trickster Опубликовано 16 сентября, 2020 Поделиться Опубликовано 16 сентября, 2020 Полиморфное шифрование, как вариант. Ссылка на комментарий Поделиться на другие сайты Поделиться
imaginary Опубликовано 16 сентября, 2020 Поделиться Опубликовано 16 сентября, 2020 Можно использовать сразу syscall или загрузить свою версию копию системной dll, просто нужно название изменить перед загрузкой и потом делать вызовы из этой библиотеки, например можно скопировать KERNEL32.dll, назвать KERNEL33.dll и никто не будет перехватывать вызовы в ней. Но это только если не драйвер который сразу в ядерных модулях всё перехватывает. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения