novIce Я проверял, всё работает. Поставь безусловный бряк bp address Когда трапнешся, посмотри, что там по esp+8: ? dwo(@esp+8)
novIce Попробуй .expr /s masm bp address "j (dwo(@esp+8) == 0x0110) ' ';'gc' "
W4FhLF :-) TermoSINteZ Ну, add [eax], al всяко лучше nop будет. :-)
loleg Спасибо.
Cigan Спасибо. Хорошую статью по исследованию этого дела не подскажешь?
Чем может быть обработан ехе, содержащий секции "nunc", "bibendum", ".securom", "est" ?
Begemot Странно... Не знаю тогда, в чём может быть дело... надо ковыряться, сейчас нет на это времени, извини --- Подключись к процессу, в котором...
и while (FreeLibrary(h)); тоже не приводит к выгрузке длл?
Begemot Так ты проверил насчёт dll_exit_thread ?
Begemot Ты проверил, что весь код ф-ции dll_exit_thread выполняется без ошибок (я имею ввиду возвращаемые значения вызываемых апишных ф-ций)?...
Begemot В деталях это примерно так: В управляющей проге: 1. создаёшь (CreateEvent) именованный (ну, скажем, "HookCleaner") event с ручным...
Begemot Я не знаю, как реализованы глобальные хуки, но предполагаю, что используется стандартный механизм загрузки длл. Думаю, что при вызове...
Begemot Можно попробовать самовыгрузку. Т.е. после снятия хука контроллирующая прога посылает какой-нибудь сигнал (SetEvent, например), а DLL сама...
Begemot From MSDN:
Школы мало даже для того, чтобы просто научиться программировать, а на С++ - тем более. :-)
fluderast Так уж и на 100%? А драйвер подсистемы Win32, например? И объектного кода в Виндовс становится всё больше. А большинство сишного кода...
sss14566545 Как заметил n0name, смотря, какой Windows и какой драйвер. Например, самый главный драйвер в NT+ (Win32k.sys) написан с применением...
IMHO, один из самых дзенских - китайское ушу/кунг-фу. Правда, попытка изучать его форсированно, только как боевое искусство - это извращение....
IceStudent Используется вот эта "фича". А WinExec к бсоду отношения не имеет - рекурсивный запуск сделан, т.к. срабатывает не с первого раза. :-)
Отследить вытаскивание носителя можно, обрабатывая сообщение WM_DEVICECHANGE. Хотя виндовс не должен позволить размонтировать флэшку с открытыми...
Имена участников (разделяйте запятой).
