асм-вставки не работают под x64 кстати... там надо создавать отдельный asm-файл, и указывать что его надо компилить студийным масмом... это как...
я обычно делаю в виде массивов, только надо опкоды знать для этого: BYTE Code[0x4005]; for(DWORD t = 0; t < 0x4000; t++) { Code[t] = 0x90; } //...
это "украшенное" имя... создайте def-файл)))
спасибо за советы! буду пробовать!
Такая проблема, не знал куда запостить, положил в бегинерс, так как сам полный профан в этом... Есть программа написанная мной, которая...
вот адекватное решение из n00bk1t: if(SystemProcessInformation==SystemInformationClass) { // Processes int iChanged=0;...
пуффф... нда... зачем все это? какие-то буфферы дополнительные... ужас... будьте проще... если по вашему коду: вот вы копируете неспрятываемые...
TLS (Thread Local Storage) не подходит? http://msdn.microsoft.com/en-us/library/ms686749%28VS.85%29.aspx
вот вы опять бред пишите... какие ещё -1 и пустые строчки, зачем это? если вам нужно скрыть процесс, то поменяйте в предыдущей структуре...
достаточно перехватить NtQuerySystemInformation, все функции так или иначе к ней спускаются... (или я не прав?)... что-то вы бред написали,...
а как определять паразитный поток? по адресу его старта или еще как-то?
драйвер с кучей хуков... а как вычищать - хз...
много ума не надо, чтобы подобную вещь добавить, методам сто лет в обед... кому интересно, или охото поговорить на эту тему, пишите в лс или на...
нет... единственное полезное дело делать как раз и не умеет...
хе-хе... а у меня уже есть самописная! :-p бонусом умеет инжектить pe в другой процесс и запускать pe под видом другого процесса))))
найти последний символ '\' в строке пути к файлу...
1) вычленить имя исполняемого файла из пути 2) найти пид процесса по имени исполняемого файла 3) завершить процесс можно многими способами в чем...
CreateProcessNotify
вообще говоря, если ты переносишь dll на другое место, то для корретной его работы тебе потребуется поправлять ему релоки... так как код...
закинуть код в контекст другого процесса можно и без ZwWriteVirtualMemory... другое дело что, перехватывая ZwOpenProcess, мы решаем больше...
Имена участников (разделяйте запятой).
