BeginUpdateResource, UpdateResource, EndUpdateResource http://msdn.microsoft.com/en-us/library/ff468902%28v=vs.85%29.aspx
MoveFile, CreateFile, ReadFile, WriteFile, CloseHandle...
самого себя не так легко удалить/изменить в рантайме... самое простое - переименовать текущий файл, а на его имя записать измененный... или...
такого же - нет...
http://www.lmgtfy.com/?q=xml+parser+comparison
да, согласен... тут либо свой загрузщик писать, либо разбирать в неэкспортируемых функциях загрузщика винды...
бугогашечка)))
в таком случае можно длл-флаг в пе-файле подправить перед загрузкой)))
в книге по теории графов или дискретной математике...
для экзе-файлов? да, куки... чего только люди не придумают, чтобы не юзать буффер-сейф функции... кстати может проблема в выравнивании стека...
я помню Клерк предлагал искать как-то через отладочные сигнатуры, оставленные мелкомягкими... но я чет уже не помню, поищи по форуму...
есть всякие тулзы (типа bin2asm или что-то в этом духе), которые преобразуют бинарщину в асм-сорц (в набор db директив), а ты его уже включаешь в...
а почему он должен запуститься? смотри отладчиком... образ не релоцируемый может быть, а LoadLibrary поставил его не по базовому адресу......
совсем не обязательно...
бугогашечка...
http://msdn.microsoft.com/en-us/library/h5w10wxs%28v=vs.80%29.aspx а так, если уж похорошему, то не нужно использовать ebp для того, для чего он...
http://www.winasm.net/forum/index.php?showtopic=2082 первая же ссылка в гугле на запрос "assume fs nothing"...
размер длл в виртуальной памяти процесса с учетом выравнивания по размеру страниц виртуальной памяти... каждая секция pe-файла выравнивается на...
да, тем более, что ntdll.dll каким-то магическим образом может оказаться не на предполагаемом месте в списке... нужно для верности сравнивать...
взять адрес возврата со стека и проверить лежит ли он в диапазоне [базовый адрес длл, базовый адрес длл + размер образа]... на каком языке...
Имена участников (разделяйте запятой).
