XIGNCODE3
xigncode:
プロセス(ウィンドウ)検出
モジュール検出
ハンドル検出(?)
JMS, CSOで回避出来たと思うけど、
なーんか、CheatEngineとか起動するタイミングによっては検出来たりする。
XC3初期化後で対象プロセスが完全に立ち上がってからだと落ないけど、その前だと検出来る時もある(?)
まだなんか見落としてんのかな...
フックしたAPI書いておきます。
NtOpenProcess
StartServiceW
NtQueryInformationProcess
-ProcessDebugPort
-ProcessBasicInformation
NtQuerySystemInformation
-SystemProcessInformation
-SystemModuleInformation
-SystemHandleInformation
-SystemKernelDebuggerInformation
NtQueryDirectoryFile
-FileBothDirectoryInformation
-FileIdBothDirectoryInformation
NtQueryVirtualMemory
-MemoryBasicInformation
-MemorySectionName
BP検出はまだですが
NtSetContextThread / NtGetContextThread とか?