Forum: Win32/Win64 API (native code)
Delphi
by brechi,
8. Jun 2006
@Olli: Genau meine Ansicht! Kannst dir ja mal die Krio Firewall anschauen. Die macht einen SSDT hook auf ettliche Funktionen (NtWriteProcessMemory usw) und dann noch mal einen hook auf Userebene (mit Relativem Offset und dann wahrscheinlich noch ohne auf die HotPatches zu achten. Obwohl der Usermode Hook rein gar nichts bringt und der kernel Hook ausreichen würde.
Sie springen dann zu ihrem...
Forum: Win32/Win64 API (native code)
Delphi
by brechi,
7. Jun 2006
1) Sicher, dass das nicht die Kerio Firewall ist? (5 Byte jmp in Memory < 0x00100000, dann ein INT2E bzw Sysenter mit der ServiceNummer von NtLoadDriver)
2) Wirds als Treiber geladen, so ist auch sicherlich die SSDT gehookt -> vergiss es wenn du nicht auch einen Treiber schreiben kannst. Um sicher zu gehen, dass des Programm nciht einfach nur einen globalen hook (madCodehook etc) benutzt nimm...
Forum: Win32/Win64 API (native code)
Delphi
by brechi,
2. Jun 2006
ReadProcessMemory ist doch in deinem Prozess vorhanden. Wenn das Spiel ReadProcessMemory überschreibt, dann doch nicht in deinem Prozess. -> Du kannst immer noch ReadProcessMemory benutzen.