Хотелось бы узнать Ваше мнение, о этом методе,
возможности его обхода из user mod'a, при условии невозможности перехвата createfile и других функций, использованых в функции fill_proc_buffer, а также
использовании не 5 и более байт функции, а всего тела функции, полученной из dll. Здесь уже немного обсуждалась данная проблема : www.rootkit.com. посмотреть исходный код можно тут : www.coders.zp.ua.

Так simple или advanced? С первого взгляда, похоже на sim... simplest ;)

По функциональности simple, но как посмотреть код, так advanced :)

Неужели здесь никому не интересна тема антиотладки и антихукинга?

После столь страстной фразы посмотрел. И что я увидел? Да вообще ничего особенного. Или ты думаешь, что твоя NtQuery - это последний писк моды? Молодец. Хорошая игрушка. Но пока - не более того.

Согласен, что америку не открыл, но критика должна быть конструктивной. Этот пост не способ похвастаться или еще чего. Как обойти такой метод? Я пока не придумал ничего путного, поэтому и спрашиваю более опытных людей.
Володя! дайте же ответ, что с этим делать и моя душа успокоиться.

Скажи в чём основная фича и где её в исходнике искать, а то времени всё внимательно смотреть нету. Может я и посмотрю.

Да простой ответ. Берешь, и хукаешь эту твою NtQuery. И летит твой дампер плача...

Володя! Может я тебя не понял, а может Вам стоит выражаться яснее! "Берешь, и хукаешь эту твою NtQuery"
как хукаешь? методом Когсвелла и Руссиновича, методом подменны некоторых членов SERVICE_DESCRIPTOR_TABLE, а имеено адресов обработчиков вызовов? Конечно получится, но написано USER MODE ANTIHOOKING! весь вопрос в том, как из режима пользователя обмануть. Ставим hook, записываю
int 3 и обрабатывая исключения или записываем jmp XXX или
другие инструкции перехода. Вызываю NtQuery покупаемся за 3 копейки, а моя хрень читает файл ntdll и находя тело функции NtQuery дизасмит и копирует инструкции >= 5 байт
Дальше вызывает свои функцию NtQuery которая выполняет эти "правильные" байты и дальше jmp
на адрес функции (+ >= 5)NtQuery в ntdll. Таким макаром и не удаеться перехватить наш вызов, при том, что установленные хуки так и остаються установленными.
Если интересно поиграйся с зомбиным stealth'om и посмотри выдит ли procviewer его процесс, и видит ли его например proccess explorer или taskmgr, а под 9x дурим и invisibility by yoda. А что если записать jmp или int 3 не в начало, а где-то в середине? Так можно тогда восстанавливать не >= 5 байт, а всю функцию.
Метод мне кажеться хорошим, так как такие финты можно и в ring0 крутить. еще поиграться... (main.exe для MS Windows 2000) поставь SICE'ом bpx GetWindowTextW и запускай main.exe. Поймал? :)



_1543307979__sources.zip

Теперь уже я не очень понимаю... Видимо, мы говорили на разных языках. Итак, вопрос.
В чем проблема-то? В том, чтобы увидеть процесс, несмотря на все проблемы? Или в том, чтобы любой ценой не дать себя увидеть?

Этот procviewer демонстрация антидебаг и антихукинг метода. Зашибись метод, но это прошлый шаг. Новый шаг, это как его обмануть, этого я не придумал, и это мне не дает покоя, и никто ничего толкового не предлагает, (это я так сужу из постов на rootkit'e). Хотя мне кажеться что так могут вызывать функции и упаковщики, хотя не уверен, так как с упаковщиками я не на "ты".
З.Ы. Я думаю уже есть и такие, кто в ring0 перехватывают вызовы не методом Руссиновича(это уже попса), а вставляя в ntoskrnl.sys
инструкции типа jmp и прочие счастья, будет нехило и их выводить на чистую воду, но это уже в будущем, а procviewer(он же для юзер мода, но метод получения "правильных байт тот же") это предтеча.

[ Saint German: а моя хрень читает файл ntdll и находя тело функции NtQuery дизасмит и копирует инструкции >= 5 байт ]

Если не ошибаюсь, именно так поступают многие протекторы и уже очень давно.

"Если не ошибаюсь, именно так поступают многие протекторы и уже очень давно." Вот мне и интересно какие, и как, а Володя инфой делиться не хочет или не понимает, о чем это я.
to Four-F : А что ты думаешь про ring0, попадались уже тебе такие хуки типа jmp in ntoskrnl.sys?

[ Saint German: попадались уже тебе такие хуки типа jmp in ntoskrnl.sys? ]

Конечно. Например, DbgView так делает.

Вот! а как же их обойти, но при этом не убирать их? Читая, теперь только, не из ntdll, а из ntoskrnl.sys.
А теперь вопрос( в который раз уже:) ) : как обмануть
обход хуков?