-XIGNCODE3 detects:
Files on your drive via USN Journal & Prefetch
そういえば、C:\Windows\ に Prefetch っていうフォルダ生成されて
それにログファイルからデータベース的なのが保存されるそうな、、
XC3起動時にそれを参照して検出するみたいだけど、それが割とだるい。
2,3日前にウィンドウ検出を回避した上で、CheatEngineがなぜか検出されるようになってた。
それの原因が、このPrefetchフォルダ内にあるログファイルが関係あるのかな(?)
起動毎に生成されるんならいいんだけど、
なんか48時間分のログファイルが云々で、一定の条件で生成されるみたいで、
NtReadFile / NtCreateFile とかフックでどうにかならんかな?
プロセス名
NtQueryInformationProcess - ProcessImageFileName / ProcessImageFileNameWin32
NtQuerySystemInformation - SystemProcessInformation
モジュール名
NtQuerySystemInformation - SystemModuleInformation
NtQueryVirtualMemory - MemorySectionName
一応、この辺の奴全て書き換えてるんだけど、
確認しようにもなあ・・・。
まほろりさんのLogViewer使える内にやっておけば良かった・・・
- 2016/02/13(土) 14:39:23|
- xc3
-
-
| コメント:0