Это работало на XP.
В Windows 7 по умолчанию в каждом процессе свой адрес kernel32.dll, поэтому GetModuleHandle(«kernel32») в процессе, выполняющем внедрение, бесполезен
Тебе не повезло с Ямахами.
Мы учились не в бейсике, а в CP/M и Turbo Pascal 3.0
Помню, в паскале можно было делать вставки маш. кодами и пиликать на звуковом сопроцессоре (который был как в спекки-128).
Ну и главное, из-за чего все любили Ямахи — культовые Vampire Killer, Metal Gear после уроков
Про мошенничество ни в коем случае. Типичный юзер не будет вчитываться и разбираться, он просто подумает, что сайт заблокирован, потому что связан с мошенничеством, и больше на него не зайдёт.
VirtualAllocEx в чужом процессе + WriteProcessMemory + CreateRemoteThread.
Плюсы:
— подгрузить код можно избирательно, а не во все процессы
— можно обойтись без DLL на диске и в списке загруженных DLL процесса
Минусы:
— антивирусы сильнее ругаются на WriteProcessMemory, чем на хуки
— сложнее реализовать
Сложности в том, что внедряемому коду надо настроить relocations на адрес внедрения, настроить импорты из зависимых DLL (из-за ASLR заранее неизвестно, где системные DLL). То есть, реализовать часть DLL-загрузчика.
Если внедряемый код маленький (загрузка DLL и запуск функции оттуда), его настройка упрощается, но теряется второй плюс этого метода.
Лютый overkill.
1. Для записи видео достаточно прописать в браузере свой прокси-сервер и из него сейвить все ответы.
2. Для Firefox API расширений позволяет ловить все HTTP-реквесты и респонсы в своём javascript-фильтре.
Второй способ, в отличие от хуковского и проксёвого, пробивает https.
Видимо, автор не решал задачу сохранения видео, а захотел поиграться с системой.
Тоже хотел написать, что статические анализаторы ловят только опечатки, поэтому Макконнелл тут притянут за уши — нелинейный рост количества ошибок в больших проектах связан с совершенно другими классами ошибок, которые анализаторам не по зубам.
Неудобства PS:
1. долго работает (конечно, если искать за нужный день. сливать за последние N минут не пробовал)
2. полные данные некоторых событий (например, редактирование объекта AD) нужно собирать по нескольким event-ам, связывая по Correlation GUID. join прямо таки просится
поделиться не могу — в рабочее время написано по тз.
заняло 2 дня: 1) копипаста с MSDN готовых кусков (скелет службы и разные варианты подписки на eventlog есть в законченных примерах), 2) отладка опечаток
Любопытное замечание было в видеолекциях какого-то гуру di/IoC: несмотря на то, что IoC избавляет наши классы от зависимостей от классов другого слоя, он добавляет зависимость от контейнера. Можно написать свой интерфейс-обёртку вокруг библиотеки DI и менять её по своему усмотрению: сегодня Unity, завтра — ninject.
Есть ещё синтаксис инъекций в параметры конструктора, но это лишний код — потом принятые параметры сохранять в переменные класса.
Желательно все инъекции оформлять через свойства (декларативныое описание зависимостей, не надо писать служебный код).
Но никто не мешает вручную из di-контейнера достать сервис или настроенный контроллер, если логика требует отложенной инициализации (такое почти никогда не надо, сервисы же не хранят состояние) или нужно в цикле 100500 контроллеров создать. При этом контейнер, из которого достаём, как любой другой сервис, должен быть в dependency.
На боевых серверах парсить журнал PowerShell-ом — проще застрелиться.
У нас есть самодельный сервис, который подписывается на события eventlog-а и сливает события в MS SQL прямо как есть в xml-виде (кидает в SQLite, если MSSQL временно недоступен). Благо, MSSQL-сервер позволяет индексировать такие данные и делать хорошие выборки с использованием xpath-синтаксиса.
SDXC не ломает совместимость интерфейса, расширяя его битами capability, которые старые устройства будут игнорировать, не поддерживая необязательные фичи.
Единственное препятствие — формат по умолчанию exFAT вместо FAT32.
Windows7, например, не форматирует носители больше 32Gb в FAT32, придётся пользоваться какими-то утилитами.
Но если в телефоне стоит кастом андроида (ядро собрано с поддержкой exFAT), то вообще никаких проблем вставить SDXC-карточку.
В Windows 7 по умолчанию в каждом процессе свой адрес kernel32.dll, поэтому GetModuleHandle(«kernel32») в процессе, выполняющем внедрение, бесполезен
Мы учились не в бейсике, а в CP/M и Turbo Pascal 3.0
Помню, в паскале можно было делать вставки маш. кодами и пиликать на звуковом сопроцессоре (который был как в спекки-128).
Ну и главное, из-за чего все любили Ямахи — культовые Vampire Killer, Metal Gear после уроков
Вроде как она и нужна для защиты от копирования. Видимо, русские хакеры об этом не знали ))
Плюсы:
— подгрузить код можно избирательно, а не во все процессы
— можно обойтись без DLL на диске и в списке загруженных DLL процесса
Минусы:
— антивирусы сильнее ругаются на WriteProcessMemory, чем на хуки
— сложнее реализовать
Сложности в том, что внедряемому коду надо настроить relocations на адрес внедрения, настроить импорты из зависимых DLL (из-за ASLR заранее неизвестно, где системные DLL). То есть, реализовать часть DLL-загрузчика.
Если внедряемый код маленький (загрузка DLL и запуск функции оттуда), его настройка упрощается, но теряется второй плюс этого метода.
1. Для записи видео достаточно прописать в браузере свой прокси-сервер и из него сейвить все ответы.
2. Для Firefox API расширений позволяет ловить все HTTP-реквесты и респонсы в своём javascript-фильтре.
Второй способ, в отличие от хуковского и проксёвого, пробивает https.
Видимо, автор не решал задачу сохранения видео, а захотел поиграться с системой.
http://msdn.microsoft.com/en-us/library/windows/desktop/aa385771%28v=vs.85%29.aspx
1. долго работает (конечно, если искать за нужный день. сливать за последние N минут не пробовал)
2. полные данные некоторых событий (например, редактирование объекта AD) нужно собирать по нескольким event-ам, связывая по Correlation GUID. join прямо таки просится
поделиться не могу — в рабочее время написано по тз.
заняло 2 дня: 1) копипаста с MSDN готовых кусков (скелет службы и разные варианты подписки на eventlog есть в законченных примерах), 2) отладка опечаток
Желательно все инъекции оформлять через свойства (декларативныое описание зависимостей, не надо писать служебный код).
Но никто не мешает вручную из di-контейнера достать сервис или настроенный контроллер, если логика требует отложенной инициализации (такое почти никогда не надо, сервисы же не хранят состояние) или нужно в цикле 100500 контроллеров создать. При этом контейнер, из которого достаём, как любой другой сервис, должен быть в dependency.
У нас есть самодельный сервис, который подписывается на события eventlog-а и сливает события в MS SQL прямо как есть в xml-виде (кидает в SQLite, если MSSQL временно недоступен). Благо, MSSQL-сервер позволяет индексировать такие данные и делать хорошие выборки с использованием xpath-синтаксиса.
Единственное препятствие — формат по умолчанию exFAT вместо FAT32.
Windows7, например, не форматирует носители больше 32Gb в FAT32, придётся пользоваться какими-то утилитами.
Но если в телефоне стоит кастом андроида (ядро собрано с поддержкой exFAT), то вообще никаких проблем вставить SDXC-карточку.