Comments 16
Монументальный труд! Огромное спасибо!!!
Большое спасибо за вашу работу! И за статьи, и за ответы на форуме, и за классы и компоненты на вашем сайте!
P. S. Пару лет назад вносил небольшие правки в FWSysTrayInfo :)
P. S. Пару лет назад вносил небольшие правки в FWSysTrayInfo :)
Хорош! Все в одном!
Хабр тот!
Кстати, чуть не забыл.
Утилита Process Memory Map (собственно как и VMMap от Марка Руссиновича) детектируется антивирусом DrWeb 9.0 как «DPH:Trojan.Inject.3».
Что не может не удивлять, ибо открытие памяти удаленного процесса на запись не производится.
Предыдущие версии DrWeb такой реакции не проявляют.
Утилита Process Memory Map (собственно как и VMMap от Марка Руссиновича) детектируется антивирусом DrWeb 9.0 как «DPH:Trojan.Inject.3».
Что не может не удивлять, ибо открытие памяти удаленного процесса на запись не производится.
Предыдущие версии DrWeb такой реакции не проявляют.
Спасибо, очень хорошая статья. Единственное
А как же heaven's gate? Или не рассматривается, ибо андок?
32-битный процесс НЕ МОЖЕТ получить данные по 64-битному.
А как же heaven's gate? Или не рассматривается, ибо андок?
Эмм «heaven's gate» это же межсегментный прыжок из 32 битного Wow в нативное 64 битное окружение. Для чтения из памяти других процессов придется дропера писать — это уже на вирус будет похоже :)
Посмотрите эту библиотеку github.com/rwfpl/rewolf-wow64ext
Sign up to leave a comment.
Карта памяти процесса