Что делать, если на память клиента стоит AllocateProtect?
В CE это решается... в опциях одной галочкой, то есть Base Adress то найден новый. Но вот что делать дальше... Любые возможные проги, типа pwgtm, msh и т.п. не видят чара ни в какую. Base Adress то они знают правильный, а вот увидеть в памяти сами - хрен то там.

2 Варианта - драйвер-монитор/сплайсер процесса или же сам процесс себя мониторит. Первый вариант легче. Ройся в службах - там могут оказатся совсем странные драйвера =)

2 Варианта - драйвер-монитор/сплайсер процесса или же сам процесс себя мониторит. Первый вариант легче. Ройся в службах - там могут оказатся совсем странные драйвера =)

Рылся :) В скрытых службах был найден процесс PWGuard, который никаким макаром не хотел отключаться, переименовываться и т.п.

Запущен от root'a.

Шо с гадом делать? :)

А в свойствах есть имя файла запускавшего оный?) Вот его гада нужно заменить на нулевой думаю)

Если найду - выложу болванку Kernel Mode драйвера.
Стоит еще в процессах посмотреть на предмет странных процессов. Плюс, нужен хороший антивирь который будет мониторить системные процессы на предмет внедрения(не знаю какой антивирь это делает, наверно нортон или касперыч).
В крайнем случа попробуй через CE посмотреть у системных процессов список модулей, CE: View->Enumerate DLL-s and Symbols. Вот там стоит посмотреть какая гадость подгружена. Конечно может быть такое что драйвер кроме функции мониторинга что то еще делает. Вот тогда уже надо искать KMD-программера(я пока такого не умею, скоро научусь;)) который напишет эмулятор драйвера. Т.е. что б делал то что нужно клиенту но не мониторил его память=) В принципе можно было бы порытся в драйвере на предмет нужного кода, т.е. того который убивает функции или же мониторит процесс.

А в свойствах есть имя файла запускавшего оный?) Вот его гада нужно заменить на нулевой думаю)

Если найду - выложу болванку Kernel Mode драйвера.
Стоит еще в процессах посмотреть на предмет странных процессов. Плюс, нужен хороший антивирь который будет мониторить системные процессы на предмет внедрения(не знаю какой антивирь это делает, наверно нортон или касперыч).
В крайнем случа попробуй через CE посмотреть у системных процессов список модулей, CE: View->Enumerate DLL-s and Symbols. Вот там стоит посмотреть какая гадость подгружена. Конечно может быть такое что драйвер кроме функции мониторинга что то еще делает. Вот тогда уже надо искать KMD-программера(я пока такого не умею, скоро научусь;)) который напишет эмулятор драйвера. Т.е. что б делал то что нужно клиенту но не мониторил его память=) В принципе можно было бы порытся в драйвере на предмет нужного кода, т.е. того который убивает функции или же мониторит процесс.

Собственно, DLL никакая не подгружается.
Антивирь nod 4-й и еще какие то наглухо блочат этот процесс, но клиент не запускается тогда.

Вот порядок запуска:
1. PWGuard (архив по ссылке) ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - установить защиту: пишется в реестр и запускается служба-драйвер от файла pwguard.sys, который ложится в "windows\system32\drivers\".

2. Всё, служба висит в памяти. Запускаем клиент. Сначала заводится pwtomskguard.exe (архив по ссылке) ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) и проверяет, запущена ли служба-драйвер PWGUARD. Также коннектится на сервер по порту 24000 и сверяет свою контрольную сумму. Если всё ок, то запуск идет дальше.

3. Заводится pwprotector.exe (архив по ссылке) ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), который в первую очередь вешает соединение с сервером по порту 24000 и проверяет контрольную сумму elementclient.exe. Если совпадает - разрешает загрузиться клиенту.

4. Загружается клиент, вешается на порт 29000. Далее pwprotector, похоже, совместно с службой PWGuard мониторит действия над процессами клиента. Если скрываем\закрываем процессы pwtomskguard/pwprotector - вылет. Скрываем клиент - вылет.

Чудо-служба-драйвер-монитор портит всю картину.

Защиту обошёл.
Способ очень интересный, но в паблик секрета раскрывать не буду, дабы баг не попал во вражеские кланы.

Особо страждущие узнать - пишите в личку!