xc3のウィンドウ検出回避する際に、
SystemProcessInformation の時に return STATUS_ACCESS_DENIED; してるせいで、
Proxy dll からBlackCipher.aesに bypass のインジェクトが失敗する。
どうしましょう。
あと、BlackCipher.aes のプロセス検出,メモリ検出はいつどのタイミングで潰しても問題無いんだけど、
ハードウェアID検出 いわゆるPCBAN は、
BlackCipher起動時にDeviceIoControlから取得されて、それまでに先にフックかけないとインジェクトしても検出される。
今はProxy dll から Process32Next でプロセス検索して、見つかったら 100ms 後にインジェクトするようにしてる。
(これでも2回に1回、まあ結構な頻度で失敗する。)
CreateProcessInternalWで作成されたBC?(1回目の初期化?時のBC)にインジェクトしてしまうため、
早すぎても失敗する。
どうしましょう。
なんか良いアイデアないかな。
ProxyDLL -> CreateProcees -> Injecter.exe -> DLL Inject が手っ取り早いのかなあー
なんか日本語おかしかった。
- 2016/02/13(土) 15:25:11|
- CSO
-
-
| コメント:1
よくわからないけど
Injectionのタイミングが悪いってことかな?
Thread停止とか使えばどうにかなりそうだけど...
CreateProcessの引数書き換えることでメインスレッド停止したままプロセス起動とかできるから
そういうの使えばどうにかなるんじゃないかと...
CreateProcessでメインスレッド停止したままプロセス起動して
メモリ書き換えた後にメインスレッド実行ってやるとかすればいいんじゃないかな
- URL |
- 2016/02/13(土) 23:10:13 |
- ラナルータ #-
- [ 編集 ]