Всем привет. Я не сильно разбираюсь в malware кодинге, поэтому хочу попросить помощи у более знающих людей. У меня такая ситуация : я создаю замороженный поток (в своем процессе), записываю в память шеллкод (полученный через donut) , изменяю контекст потока и размораживаю его. Если wd отключен - все ок . Но если он включен (real time protection) то процесс падает с ошибкой что нет доступа (смотрел в журнале событий).
Все вызывается через прямые сисколлы.
У меня есть предположение, что это связано с callbacks по типу PsSetCreateThreadNotifyRoutine и аналогичных, они ведь «докладывают» антивирусу что создается поток, а тот уже его анализирует. Или же я что то не так написал в коде ?
Спасибо всем за любую помощь.
Все вызывается через прямые сисколлы.
У меня есть предположение, что это связано с callbacks по типу PsSetCreateThreadNotifyRoutine и аналогичных, они ведь «докладывают» антивирусу что создается поток, а тот уже его анализирует. Или же я что то не так написал в коде ?
Спасибо всем за любую помощь.