dev Вроде бы в AppInitdll можно прописать, по идее должно подгружаться только к тем приложениям где есть импорты user32, но на практике вроде ко...
Наверно дело в том, что твоя длл инжектится только в gui-приложения, если ты делал перехват через SetWindowsHook
Comer_ Писать-то писал, но его же касперский палит =), ну если ав не стоит, то конечно так проще..
Посмотри ресурсы msgina.dll
Он считает контрольную сумму себя =), и если не совпадает ругается, вроде даже на крэклабе статья по поводу была..
Попробуй в папку с самим файлом, у меня только так видит
По умолчанию х64 и IA64 не ставятся, запусти заново инстал-репэйр, там в custom выбери их и все появится =)
Мне в свое время очень помог insight
lust Получается, что будет работать, если полученный ret больше или равен адресу буфера в стеке, но меньше, чем адрес буфера + 0х200, т.к. тогда...
Хм, вообще все работает в предположении, что в "ломаемой программе" esp не более чем на 200h отличается (грубо говоря) от esp запускаемой...
Ну первый int21h -- это приглашение ввести пароль, второй -- ввод пароля, третий --- вывод перехода на новую строку, и есть еще четвертый и пятый,...
Ну со 100h начинается код =), а Ида вот: http://www.cracklab.ru/download.php?action=list&n=NQ==, может и на вазме где-нибудь лежит..
Лучше засунь в Иду, там все сразу понятней станет, второй вывод -- это просто переход на новую строку, а вывод правильности-неправильности пароля...
Ты запароль архив и выложи, и екзе тож туда =)
Касперский говорит, что detected: Trojan program Packed.Win32.CryptExe (modification) URL:...
У тебя там вирус...
Proteus Клево, сенкс =)
Proteus Сенкс, погуглю =) Сорри, он заполняет массив значением PatternSize, которое реально -- байт, как-то я просмотрел, что hex-rays не заметил...
Ну так это сильно зависит от того какому драйверу ты посылаешь IRP, что за IOCTL и т.д.
Можно построить IRP и послать его через IoCallDriver upd а IRP можно построить через IoBuildDeviceIoControlRequest =)
Имена участников (разделяйте запятой).
