k3internal Надо грузить DLL из памяти. LoadLibrary грузит из файла (очевидно). Сохранить DLL в файл и сделать LoadLibrary, а потом поправить PEB...
mrcrown Часть полей можно понять по смыслу, маленькую часть есть во "Внутреннее устройство Windows", часть в Шрайбере, немного тут...
http://www.cracklab.ru/art/?action=view&id=30 http://www.cracklab.ru/art/?action=view&id=31 http://www.cracklab.ru/art/?action=view&id=32 Это...
Necromancer13 Все дело в том, что MASM недостаточно гибок для такой задачи (по сравнению например с FASM), поэтому, чтобы ты не сделал для ее...
Как насчет хучить в r3 GetMessage и если WM_CHAR (WM_X), то редактировать соответствующую возвращаемую структуру?
tekton Свена Шрайбера читай - там описывается полная его разработка.
Great Тема была о том как узнать что программа хукает запись/чтение в себя и как противодействовать этому поведению. Достаточно снять хуки и...
Freeman Да, спасибо за разьяснения, я перепутал KiFastSystemCall с KiFastSystemCallRet =) Great Да, теперь все на своих местах.
coocky Ищи по форуму - такой вопрос про скрытие появлялся и был даже рабочий код.
Great Стоп. Если сплайснуть KiFastSystemCallRet и напрямую вызывать SYSENTER ничего не изменится - т.е. сплайс-хук не сработает. Ведь...
Freeman Ну про маны это сильно, надо почитать любую книгу (стотью) о диспетчеризации прерываний в винде.
l_inc Да, убедило =)
l_inc Отнють. У меня в тестах было как раз всегда больше. И Вам для справки - TID'ы и PID'ы выделяются из одного пространства, что может...
l_inc Да, тоже один из вариантов. Еще можно сравнивать TID'ы по величине, ведь они выделяются поочередно (почти). Но это не очень надежный метод -...
l_inc Можно было догадатся, что имел ввиду опосредованное исполнение EP. Чтож могу пояснить - .text:7C810665 xor ebp, ebp...
Если бы ты понял мой пост полностью, то не довал мне эти ненужные очевидные объяснения. Причем я не говорил, что EIP указывает на EP, я сказал что...
Хочу вернуться к теме про основные и неосновные потоки. Следуя логике понятия основного потока нет, есть понятие первичного потока. Он создается...
При чем тут отладочные символы и тем более DepWalker? Юзай IDA и Olly(SoftIce). Отлаживая функцию постепенно спустишься до самых низов.
http://board.flatassembler.net/topic.php?t=6676 - тут, и по линкам оттуда их масса.
Спасибо за понятный вопрос. Как пример для всех других вопросов по способу постновки. Дело в объявлении void SendRequest(DWORD lp); надо просто...
Имена участников (разделяйте запятой).
