можно избежать чужих хуков, но для этого нужно дизассемблировать тело функции (как правило начало ф-ции, первые N байт) и проанализировать его на наличие подозрительных call'офф, jmp'офф и т.д. ну и использовать валидный файл на диске. Это для случая когда кто-то ДО тебя уже понаставил хуков. А когда хуки пытаются ставить уже ПОСЛЕ того как ты хукнул ф-цию то это уже другой вопрос...

не существует таких хуков которые нельзя было бы обойти, уничтожить и т.п. считай это аксиомой ибо проверено в жизни...

попытки с помощью хукоф сделать какие либо пакости или таинства четко показывают крутейшее ламерство таких товарисчей, которые не понимают, что - ЛЮБЫЕ типы хуков в ЛЮБОМ месте системы лехко обходяца и/или убиваюца.

Проблема скоро будет решена, т.к. уже закончил практически половину работы, решил делать все через драйвер.(Best regards to Four-F)
/off
Скажите, а 16 часть про драйвера выйдет?
И когда(про что)...
/off
NeuronViking
А ты уверен что первых 10-20 байт хватит?
Может и не хватить.

какая проблема? где?! нигде в сабже не увидел никакой проблемы =) все о чем говорилось, тривиально и давным давно расписано по самое немогу...

драйвер - это круто! (с) ;)))

где ты в моих словах видел цыфры 10-20? я написал N (читать "эн"), а еще я написал слово "дизассемблировать" тыж вроде как воин дзена ;) ... вот дизассемблируешь настоящую ф-цию, не похученную, и получишь те самые N байт, которые нужно восстановить (это если тибе в динамике все делать нада). Или (если достаточно и в статике) непохученную ф-цию возьмешь из из образа файла на диске, ну или у себя дома =) или я могу прислать емейлом...

в принцыпе и дизассмеблировать то и не надо =))) сверяешь побайтно код вункцыы в памяти с правильным шаблоном и фтыкаешь туда(в память тобишь) правильные байты. усе... все хуки идут лесом. это не мной придумано, ибо это не просто, а слишком просто и было придумано оооооооочень давно и кажись даже описано в библиотеке detours от микрософта году этак в 91м.

это типо магнус опус о том как снимать/обходить всякие там хуки. иш! расхукались тут...

NeuronViking
первые N байт== всю функцию:
mov eax,ADh (точно непомню)
mov edx,XXXXXXX
Call edx
ret 10h
Вроде так.
Заменять на свои сохранненые байты?
А толку, если прога будет проверять через N-ое время байты данной же функцией и тогда если будет несовпадение...

Просто в проге думал что смогу обойтись без драйверов(жуть,страшно) а не получилось, так и за компанию сделаю драйвер на отображения процессов.
А еще легче самому mov eax,.......ret 10
И мороки не надо. Но надежней все-таки драйвер.
А потом борьба но уже на нулевом кольце...

„
mov eax,ADh (точно непомню)
mov edx,XXXXXXX
Call edx
ret 10h
Вроде так.
Заменять на свои сохранненые байты?
А толку, если прога будет проверять через N-ое время байты данной же функцией и тогда если будет несовпадение...
“

фигню ты какуюто говоришь товарисч. или я в корне не понимаю чего ты вообще ищешь. скорее всего второе.
пойду спать.. завтра посмотрим

NeuronViking
Если не врет ни монитор не видюха то вот:
Disassembly of Function ntdll.dll!NtQuerySystemInformation (0x77F76152)
*** NtQuerySystemInformation (259) ***
SYM:NtQuerySystemInformation
0x77F76152: B8AD000000 MOV EAX,0xAD
0x77F76157: BA0003FE7F MOV EDX,0x7FFE0300
0x77F7615C: FFD2 CALL EDX
0x77F7615E: C21000 RET 0x10

Ну и дальше в EDX.
Наверное ты прав, моя твоя не понимать
До побачення(щирий украінец)

так, кое что есть, точнее то, что у тебя есть.. теперь расскажи чего ты хочешь?

[ dead_body: Скажите, а 16 часть про драйвера выйдет? ]

Да.


[ dead_body: И когда(про что)... ]

Когда напишу(про драйвер-фильтр).

NeuronViking
Хочу я много-го, но в данном случае полного списка процессов, через Ринг-3, но теперь я понял что это практически невозможно и решил получать список процов через 0 кольцо, но почитав на rootkit.com понял ,что это все сделать даже через 0 кольцо непросто ,но можно.
А хочу исходников готовых на халяву но их усеравно никто не даст.
А как сделаю прогу(надеюсь) то сорцы выложу, и авось у кого-то есть наработки или интересная инфа и ему не впадло то пусть поделиться. Бог мне в помощь!

хммм... почему же непросто? для меня прочему-то с этим проблем никогда не возникало. перечисли мне твои "проблемы" =)

Проблемы:
1.Нада напрягать мозги, и читать по англиски;
2.изучать вначале теорию, а потом практику;
3.много думать и долго отлаживать;
Решение:
1.Попить пива (((((:-
2.Поклянчить готовый код(если не дадут,вероятность 95%)->
А)тогда кто что даст(уже более вероятно 40%)->
Б)а апосля самому сидеть и изучать(90%) -))))))
NeuronViking
для меня прочему-то с этим проблем никогда не возникало Может кинешь что есть на тему, а то разбираться в klister*е подкумарило(да и не только в нем)