klzlk согласен, просто самое простое и эфективное, точнее что в глаза в явном виде бросается ...
1) Перехват диспатча систмных вызовов, рано или поздновсе равно ведь вызовет 2) шаддулер процессов 3) менеджер пяти, все равно ведь страницы для...
Где можно почитать про эти ЧУДО технологии?
IDebugControl::Execute(DEBUG_OUTCTL_ALL_CLIENTS, "u address", DEBUG_EXECUTE_ECHO); Что в Outputcallback ?
cr0 зачиту снимаете ? А лучше код патча в студию ...
думаю задача чисто академическая и полного решение не нужно, а вот например сделать рефлектор на GUI(Влючая манипуляцию битов и всего остального ) ...
klzlk Проблема в том что не получается выгрузить код который делает исправления и он находится в DLL. Точнее не получается только в случае когда...
klzlk #3
klzlk Вопрос в том как узнать использует ли он сейчас эти патчи или нет ? то и есть обработчик хука .
klzlk Да именно патч, пробле не в восстановлении, а вот что надо откатить патчи , но в когда происходит отктак они могут использоватся, надо...
T800 В смысле по отдельности? а как еще можно?)) ...
7mm Да вы правы, вот только ограничения не я ставлю ... ((( T800 Не гарантии что 10 хуков не используются сразу.... Да именно по отдельности и...
7mm Прооблема в том что пререхваченые функции могут просить исключения ... Это не допустимо ... то есть Increment(TlsVariable) call...
7mm Hooking идет не только системного кода ... под этим подрозумевается виртуальные таблицы и калбеки ... Так что постоить граф на LDE не возможно...
7mm В коде перехватчике есть вызовы других библиотек в частности системных, так что по rEip не получится. про допрос поток пункт 2.
Собственно говоря сабЖ : Идея реализации hook\unhook. Saved unhook with unload module: Как можно проверить что в текщий момент код hook не...
ziral2088 1) Завист от разрядности 2) Завист от параметров(размер стека) 3) Не вся память будет сразу занята.. короче вожешь узать 2000 подоков,...
1: kd> .trap 0xffffffffba507b34 ErrCode = 00000000 eax=00000000 ebx=ba401010 ecx=ba507ccc edx=00000000 esi=ba4020d0 edi=ba507c1c eip=8053a014...
Llirik Во пырвых делать дамвы надо расширенные , во вторых в виндбг и analyze -v
sintez Это заглушка для буфферизации запросов от приложения ... В частности дает сильную оптимизацию и асинхронное общения драйвера с железякой ..
Имена участников (разделяйте запятой).
