Und jetzt verknüpfen wir das ganze noch mit der primären Anforderung, daß ein Antimalware-Programm äußerst schnell sein soll und es wird nicht mehr so einfach
Deshalb schrieb ich ja: nicht Anti-Malware-Programm
Abgesehen davon könnte ich dann ggf. auch den Code der
PE auslagern (bspw. indem ich die
PE-Datei nochmal im Prozeßraum als MMF lade und selber reloziere) und einfach alle
PE-Sektionen (des originalen Abbilds) dafür benutze mein eigenes Ding zu machen ..
Also die Codesektionen (ungepatcht durch AntiCheats) neu aus der
PE lesen und damit auf den Daten des normalen Programmes arbeiten? Oder hab ich dich da falsch verstanden?
Darauf muß man erst mal kommen
Kommt immer drauf an welche Rechte der Angreifer schon hat.
Blöderweise hat ja ein Cheat im Zweifelsfall alle Rechte. Also kommt man bei Anti-Cheat-Programmen irgendwann auf die gleiche Diskussion wie bei DRM, Anti-Cracking, usw.