nBD wszystko widac na screen'ach jak na dloni
Az w pewnym momencie myslalem zeby ocenzurowac troche logi
Jak widac obawy byly zbedne poniewaz nikt nawet nie podjal sie dyskusji na temat. Metoda jest prosta i skuteczna ale tylko nieznacznym stopniu. To co opisalem nie moglo nie dzialac! Nie zaleznie czy hookowana jest funkcja ZwQuerySystemInformation po stronie user mode czy kernel mode. Warto obejrzec sobie kilka funkcii zwiazanych z procesami i watkami pod kd - zwlaszcza w jaderku. Zrodelko zamieszcze w odpowiednim miejscu zas PoC'a udostepnie jak bedzie opieral sie o inne metody i bedzie mial sensowny wyglad - GUI. Obecnie musze przetestowac jeszcze zachowanie wykorzystanej metody w odniesieniu do ciekawszej metody ukrywania procesow... Trzeba liznac KM czy sie tego chce czy nie
Wstepnie probowalem RE trojanikow i odbudowy funkcji hookujacych lecz decryptowanie binarki Delphi to powazne wyzwanie. Mimo ze Borland utrudnia nam zycie jak moze to tworcy trojanow wyciagaja ku nam reke w postaci szeregu podpowiedzi
Ostatecznie wykasowalem *.idb i podszedlem od innej strony. Prawda jest taka ze chlopaki nie maja sie czym pochwalic i nie ma sensu analizowac ich kodu!