Интересует всё, что с этим связано.
Методы, функции, способы и всё что с этим связано и может пригодиться в этом.
З.Ы. Как я понял надо делать Снапшоп процесса, потом делать ещё и сравнивать их, но информации особо не нашел по этому делу.
Поставь хук на NtReadVirtualMemory и проверяй какой там хендл! Или на NtOpenProcess и сравнивай пид.
А лучше тупо закрыть доступ к процессу!
Мне кажется сравнивать образы это не очень надежно
Интересует всё, что с этим связано.
Методы, функции, способы и всё что с этим связано и может пригодиться в этом.
З.Ы. Как я понял надо делать Снапшоп процесса, потом делать ещё и сравнивать их, но информации особо не нашел по этому делу.
Есть несколько способов:
Первый - это проверка внутри приложения,то есть вычислять хэш из памяти где исполняемый код и сравнивать его с ранее полученым.
Второй - перехват функции WriteProcessMemory во всех запущенных приложениях либо через драйвер.
Лучше всего совместить первый и второй способы.
Писать перехват для функции OpenProcess нету смысла так как получить handle на полный доступ к процессу можно и без этой функции.
Регистрация: 22.02.2011
Сообщений: 949
Популярность: 34698
Сказал(а) спасибо: 939
Детект на изменение памяти своего приложения
