Уточнение "не Линукс" просто вынесло мозг =))
ДА, кстати, еще вопрос такой. Раньше не было такой баги: я сижу по https, отвечаю в теме, после ответа меня перебрасывает обратно в тему, но уже...
В любом случае скрипт https://wasm.ru/forum/message_list.php пашет. Просто ссылку кудато задевали пока патчили +)
я чтото тоже не пойму чем автора не устраивает предложенная в самом начале VirtualAlloc/ZwAllocateVirtualMemory
как я помню, достаточно один раз
ну может быть там структура пеб изменилась, фиг его знает. надо посмотреть
Я не преследую никакую цель, я хочу лишь читать информативные темы, а не Ваше гавно Вообще, товарищ, нехорошо так вот в чужой монастырь. Это не...
Хочется все же читать информативные темы, а не разборки. Aquila, спасибо
Дык в этом никто и так не сомневался) Хукают NtReadProcessMemory - дергаем KeStackAttachProcess, и т.п. В конце концов можно прочитать память не...
жесто прошить. Когда ты копируешь в процесс назначения свой код функции, у тебя же она завершается джампом на буффер, так? Так перезапиши операнд...
А ты как перехватывал, сплайс? Тогда делай буффер из старых байт сплайсинга с кодом оригинальной функции, релокнутым на новый адрес, + jmp на...
Ну так вот и я говорил, что мы слегка ушли от темы... :D
Вообщем, кажется мы уже ушли от темы. Стоит обобщить сказанное: Если программа цивилизованная, то есть юзает ntdl.KiFastSystemCall, как завещал...
так вроде из юзермода хотели?)
А я и не говорил, что есть :P Я уже давно разобрался что к чему +) Может мы о разном говорим? Кстати я и не спорил ) А хамить совсем не...
Все-таки ты не ответил) И опять хамишь.. Ну что такое, товарищ Clerk? Как же вы себе позволяете? =)
да проще поснимать хуки с нтдлл или загрузить вторую копию себе, чем хранить все ссдт номера Nt* апишек
Стоит разобраться в терминологии. Если вызывается именно функция ZwWriteVirtualMemory из NTDLL.DLL, то можно. Если вызывается напрямую через...
W4FhLF Вообще в 2к и ХР на эту тему совершенно разные подходы. Вин2к не держит открытых хендлов сама, поэтому после завершения потока и закрытии...
Епт, это то понятно, как ты этим заменишь "отладку в режиме ядра", которую ты обозначил в посте выше ?
Имена участников (разделяйте запятой).
