эмуляция CreateRemoteThread

[jtysrtj]

Внедряю код в процесс с помощью стандартной апи-функции CreateRemoteThread

все замечательно работает, но проактивка касперского палит вызов CreateRemoteThread, и ругается на подозрительную активность

если взять исходник CreateRemoteThread, видно что в ней используются функции kernel32, такие как BaseCreateStack, BaseInitializeContext и тд
но они не экспортируются kernel32

подскажите пожалуйста, возможно ли вызвать их ? если да, то как ?
или придется эмулировать CreateRemoteThread с помощью недокументированных функций ntdll ?
если да, то каким образом ?

 

[karabas-barabas]

кстати для инжекта длл в процесс можно обойтись и без writeprocessmemory только лишь используя CreateRemoteThread ну конечно с маленьким извращением при этом, если авсофт хучит в 3 кольце то ищешь ядерный аналог функции
ZwCreateThread или ZwCreateRemoteThread хз что правильней использовать и делаешь чтото типа такого

FARPROC addr = GetProcAddress("ntdll.dll","ZwCreateRemoteThread");
asm
{
push ebp
mov ebp,esp
// восстанавливаешь первые 10-20 байт оригинальной функции
push 
push
// параметры в стек
call addr+10
}

 

[accelerator]

кстати для инжекта длл в процесс можно обойтись и без writeprocessmemory только лишь используя CreateRemoteThread ну конечно с маленьким извращением при этом, если авсофт хучит в 3 кольце то ищешь ядерный аналог функции
ZwCreateThread или ZwCreateRemoteThread хз что правильней использовать и делаешь чтото типа такого

АВ хучат в 0 кольце (проверял на Avira Premium Security)

 

[karabas-barabas]

тема боян и пост мой годовой давности тоже баян
этот обход (инжект на основе CreateRemoteThread) можно уже поместить в музей и рассказывать детям и внукам, как раньше обходились фаерволлы

 

[accelerator]

а год назад в 3 кольце хучили?

 

[karabas-barabas]

я же и говорю - пост мой полный боянище (вместо ZwCreateRemoteThread - RtlCreateUserThread конечно же ) , ему больше года - тогда я только начинал...
нормальные хипсы еще 3-4 года назад блочили