Их как раз и приходится делать, по вышеназваной причине.
Да, win32k.sys и все видеодрайвера отображаются на юзермодные адреса, и только в GUI процессы. В атаче мои маленькие эксперименты на эту...
Я забыл добавить "если блокировать ZwWriteVirtualMemory". Я с этим столкнулся когда протектор отлаживал.
А если блокировать csrss, то в Windows XP пропадают визуальные стили.
Очень странное явление, впервые о таком слышу. Хотелось бы узнать версию системы, установленые сервиспаки, имя процессов которые имеют такой...
извиняюсь, не так понял суть вопроса :)
Видно книжка настолько "умная", что авторы сами непонимают что написали :) Память процессам выделяется по страницам, (пофиг какого они размера),...
Этоп роцессы которые завершились, но на них есть ссылка либо хэндл, и поэтому они еще остаются в списках ядра. phunter отмечает такие процессы...
Просто подгружаю такие функции с помощью GetProcAddress (это там где нужен малый размер кода). А в моем пелоадере (который для дров), я...
а не проще ли юзать широковещательные UDP? Либо отсылать данные на другой комп, на любой открытый порт (например 445) и снифать сетку?
Klog обмануть удасться, я говорю о невозможность сымитировать нажатие клавиши так, чтобы никто и накогда (при всем желании и умении) не смог...
Такое невозможно даже теоретически. Имхо лучший выход - это сделать что-то типа экранной клавиатуры в программе, чтобы юзер вводил пароль с нее....
Я для этих целей использовал не кейлогер, а перехватывал интерфейсы COM обьектов работающих с СУБД. Это практически невозможно. Есть...
Ну дык дизассемблировать этот бинарный код можно по разному, иногда достаточно простого вывода текста, а иногда надо получать развернутую...
Мда, с такой архитектурой далеко не уйдешь :) Нужно декодировать команду не по значению опкода, а по его характеристикам. Тоесть нужны таблицы...
Сомневаюсь, либа малкософта сильно хромает на нестандартных опкодах и с этим ничего не поделать. Достоинство своего дизассемблера прежде всего в...
Курить мануалы от интел, и искать в goolgle исходники других дизассемблеров. По себе скажу, что от исходников дизасмов толку мало, а мануалы рулят.
Любой обычный процесс твой код должен завершать корректно, но в данном случае это значит, что в системе сидит что-то контролирующее целостность...
Не csrss.exe случайно? Корректно завершить ЛЮБОЙ процесс невозможно потому, что без некоторых процессов винда жить не может.
Вообще то есть еще ZwQueryDirectory, но через перебор проще.
Имена участников (разделяйте запятой).
