примерно так и поступают =) По крайне мере в вышеуказанном Шрайбере есть и поиск модулей и функций. Если качать долго, то скачай только примеры к...
Int 13h, это не напрямую.
censored угу.
ИМХО Шрайбер лучше =)
Собственно изучить статьи Криса Касперски по идентификации основных конструкций высокого уровня. Ну и дизасмить, дизасмить, дизасмить :)
CurrentDirectory DWORD 0 DllPath DWORD 0 ImagePathName DWORD 0 CommandLine DWORD 0 WindowTitle DWORD 0 DesktopInfo DWORD 0 ShellInfo DWORD 0...
у тебя _RTL_USER_PROCESS_PARAMETERS не правильно задана.
_io_lock смотря для каких целей тебе дебаггер. Юзермодерные приложения нормально отлаживаются и в Olly.
cc Пост нубмер 26 Скинь в файл его. И скинь его сюда.
MSDN
Чё то до меня только доперло что можно и не через ReadProcessMemory, а напрямую =) function GetImagePath: Pointer; assembler; asm mov eax, fs:...
Короче вот мой код на Delphi. pbi[i] - адрес PEB. if not ReadProcessMemory(hProc, Pointer(pbi[1] + $10), @pProcParams, 4, br) then goto err; if...
у меня всегда так :P Отлавливаю баги только в процессе использования. =)
cc Надеюсь ты UNICODE_STRING не копировал у glig'a?
gilg угу, чё то я тоже когда прочитал твой пост, подумал что так и есть, только минуты через 3 дошло что в контесте то этого процесса и...
PEB.ImageBaseAddress равен чему-либо?
Код покажи.
Попробуй CommandLine посмотреть.
Просто вся фишка в том, что адреса PEB как правило совпадают в разных процессах.
2. Обойти: найти алгоритм дешифровки строки и применить его к строке, можно с помощью скрипта для IDA. 3. md5. обойти: подправить условный прыжок.
Имена участников (разделяйте запятой).
