Что делать, если на память клиента стоит AllocateProtect?
В CE это решается... в опциях одной галочкой, то есть Base Adress то найден новый. Но вот что делать дальше... Любые возможные проги, типа pwgtm, msh и т.п. не видят чара ни в какую. Base Adress то они знают правильный, а вот увидеть в памяти сами - хрен то там.
2 Варианта - драйвер-монитор/сплайсер процесса или же сам процесс себя мониторит. Первый вариант легче. Ройся в службах - там могут оказатся совсем странные драйвера =)
2 Варианта - драйвер-монитор/сплайсер процесса или же сам процесс себя мониторит. Первый вариант легче. Ройся в службах - там могут оказатся совсем странные драйвера =)
Рылся В скрытых службах был найден процесс PWGuard, который никаким макаром не хотел отключаться, переименовываться и т.п.
А в свойствах есть имя файла запускавшего оный?) Вот его гада нужно заменить на нулевой думаю)
Если найду - выложу болванку Kernel Mode драйвера.
Стоит еще в процессах посмотреть на предмет странных процессов. Плюс, нужен хороший антивирь который будет мониторить системные процессы на предмет внедрения(не знаю какой антивирь это делает, наверно нортон или касперыч).
В крайнем случа попробуй через CE посмотреть у системных процессов список модулей, CE: View->Enumerate DLL-s and Symbols. Вот там стоит посмотреть какая гадость подгружена. Конечно может быть такое что драйвер кроме функции мониторинга что то еще делает. Вот тогда уже надо искать KMD-программера(я пока такого не умею, скоро научусь) который напишет эмулятор драйвера. Т.е. что б делал то что нужно клиенту но не мониторил его память=) В принципе можно было бы порытся в драйвере на предмет нужного кода, т.е. того который убивает функции или же мониторит процесс.
Последний раз редактировалось Ivan_32; 25.04.2009 в 21:07.
А в свойствах есть имя файла запускавшего оный?) Вот его гада нужно заменить на нулевой думаю)
Если найду - выложу болванку Kernel Mode драйвера.
Стоит еще в процессах посмотреть на предмет странных процессов. Плюс, нужен хороший антивирь который будет мониторить системные процессы на предмет внедрения(не знаю какой антивирь это делает, наверно нортон или касперыч).
В крайнем случа попробуй через CE посмотреть у системных процессов список модулей, CE: View->Enumerate DLL-s and Symbols. Вот там стоит посмотреть какая гадость подгружена. Конечно может быть такое что драйвер кроме функции мониторинга что то еще делает. Вот тогда уже надо искать KMD-программера(я пока такого не умею, скоро научусь) который напишет эмулятор драйвера. Т.е. что б делал то что нужно клиенту но не мониторил его память=) В принципе можно было бы порытся в драйвере на предмет нужного кода, т.е. того который убивает функции или же мониторит процесс.
Собственно, DLL никакая не подгружается.
Антивирь nod 4-й и еще какие то наглухо блочат этот процесс, но клиент не запускается тогда.
Вот порядок запуска:
1. [Ссылки могут видеть только зарегистрированные пользователи. ] - установить защиту: пишется в реестр и запускается служба-драйвер от файла pwguard.sys, который ложится в "windows\system32\drivers\".
2. Всё, служба висит в памяти. Запускаем клиент. Сначала заводится [Ссылки могут видеть только зарегистрированные пользователи. ] и проверяет, запущена ли служба-драйвер PWGUARD. Также коннектится на сервер по порту 24000 и сверяет свою контрольную сумму. Если всё ок, то запуск идет дальше.
3. Заводится [Ссылки могут видеть только зарегистрированные пользователи. ], который в первую очередь вешает соединение с сервером по порту 24000 и проверяет контрольную сумму elementclient.exe. Если совпадает - разрешает загрузиться клиенту.
4. Загружается клиент, вешается на порт 29000. Далее pwprotector, похоже, совместно с службой PWGuard мониторит действия над процессами клиента. Если скрываем\закрываем процессы pwtomskguard/pwprotector - вылет. Скрываем клиент - вылет.