EvilsInterrupt Как раз ПАКЕР после выполнения распаковки оставляет код нетронутым, да и протекторы хм.. не уравнивают педально-избыточный код с...
Ну так речь же вроде шла про файл на диске, а для образа можно считать КС по крайней мере секции(-й) кода с учетом релоков.
Мне кажется для таких целей контрольные суммы надо считать..
Тогда должны еще подойти всякие комовские штуки типа CoGetClassObject и т.д.
_basmp_ Чет я не так понял..
ZwAllocateVirtualMemory ?
У меня на E стоял, проблем вроде не было..
размер SYSTEM_LOAD_AND_CALL_IMAGE не такой судя по статусу
а $CTA0 разве с для юникод строк?
Чет я не понял, какие ПРОЦЕССЫ можно фильтровать от ребенка...
step_out -- возможно трассировка без захода до первого ret, вроде бы в OllyDbg так и сделано, или я чего-то путаю?
Может так: 1. Выделить память, в нее записать шеллкод, который будет в цикле с таймером проверять валидность какого-нибудь адреса твоего драйвера,...
Послушал, очень впечатлило, сенкс.
Прикольно получается, бсодит, насколько я понял, в обработчике GP, при попытке читать инструкцию вызвавшую исключение, но при этом eip естественно...
Clerk Вот что выяснил: бсодит только при обращении к 7FFE0300h и близлежащим адресам, это же вроде бы и есть shared memory, или я что-то путаю?...
Я недавно писал дров, который прятал файл по второму способу, там все вроде бы работало, но насколько я понимаю, могут возникнуть некоторые...
Может баян, и точно оффтоп ), заметил странную штуку: при трассировке в сисере такой вот фигни: LDT_Entry dw 0ffffh db 0,10h,40h db 11111010b db...
Clerk И действительно, прикольно, а в каком месте это происходит, если не секрет, ну т.е. в KiServiceExit вроде бы достаются из стека сегментные...
Теоретически можно перебазировать сегмент кода где-нибудь по-тихому, а потом обращаться с учетом смещения, и адрес, который будет виден в...
Скрипты есть, а вы часто редактируете RAM WinHex' ом? Я даже ситуации не могу представить, когда это может пригодиться.. А в последних версиях...
Имена участников (разделяйте запятой).
