а кто вам даст гарантию, что в процессе, в который выполняется инжект разные длл не загруженны по иным базовым адресам (ASLR/etc).
Посмотрите в отладчике, вроде нада еще импорт настроить для загрузчика UPX поэтому тупо инжектировать не прокатит, стаб UPX не находит API...
вот так :) for ( i56 = 0; i56 < v424 - 4; ++i56 ) { if ( *(_DWORD *)((char *)v432 + i56) == 0x444B4B4E && *(_DWORD *)(v432 + i56 + 4)...
Выдранно из вполне работающей проактивки, и даже по некоторым тестам являющейся лидером :) BOOLEAN GetProcessNameEx(HANDLE ProcessId, PWCHAR...
NtOpenProcess процесс который вызывает эту функцию это (HANDLE)-1 процесс который хочет открыть получаем из ClientId->UniqueProcess (PID) для...
тут еще можно посмотреть.
Мб так? BOOL StartButton(BOOLEAN Visible) { HWND hTray, hChild; BOOL Status = FALSE; TCHAR lpClassName[MAX_PATH + 1]; hTray =...
Нет, свои данные в пакеты подсунуть нельзя.
Кто-то мб сталкивался с реализацией атак на этот простенький алогс. Суть такая: есть зашифрованные данные, ключ не известен, но у зашифрованных...
А как вы думаете, текст находится где ? Текст содержится в АП процесса, и чтобы защитить данные в нем находящиеся, нужно как минимум запретить его...
Вообще разленились люди http://wasm.ru/article.php?article=dumping читать до прозрения :)
Может HexRays переварит Вашу программу ? :)
имелось ввиду, что вызов через сискол ZwQueryDirectoryFile proc near mov eax, 91h mov edx, 7FFE0300h call dword ptr [edx] retn...
Пцц еще чат устройте в топике, засиратели. Потом из-за таких как вы полезной информации в топиках не найдешь. Неужели так трудно создать свой...
Я думал что смысла нету, потому что, скажем, в юзермоде можно искать через прямой вызов сервиса ZwQueryDirectoryFile, а в ядре ну тыща + 1...
Не могу понять как они ищут файлы. Явно не через FindFirstFile/FindNextFile но и через драйвер делать это - кажется смысла нету... Спасибо.
Sol_Ksacap Спасибо большое, за объяснение всех моментов ! Надеюсь прочитать раньше чем "они" заменят индекс. (замена начальных инструкций функции...
Да, в нотифи PreviousMode = Usermode ZwProtectVirtualMemory вызывать не очень хочется ИМХО это некрасиво в коде, да и под фильтры чужие можем...
Никто ничего не подскажет ?
ZwQueryInformationProcess ProcessInfo.PebBaseAddress как отсюда достать знаешь ?
Имена участников (разделяйте запятой).
