Marazm Да, действительно. Оно работает. Достаточно просто написать x64 шеллкод с вызовом функции NtProtectVirtualMemory из 64-битной версии...
Xml Немного не понял. Что именно портировать? o0 ... Код отвечающий за инфектинг новых и дочерних процессов? Если рассматривать сложность задачи,...
Ответил автор madshi: То есть для правильного инжектинга либе надо 64-битный исполняемый файл, а чтобы инжектить код из родительского процесса в...
Marazm Это сурово. =) Спасибо. Кажется то, что нужно.
О. Появилась такая мысль: Похукать какую-нибудь функцию в ntdll.dll удалённого процесса. И спровоцировать её вызов из 32-битного приложения...
Так. Я не понял. А вообще существуют в природе hook-движки чтобы можно было хукать функции из 32-битного процесса в 64-битном? Я решил почитать...
Нашел тут кое-что. http://help.madshi.net/madCodeHook3.htm Вроде у него реализована работа с 64-битными процессами через Wow64. Но смущает...
x64 кодеры!? Вы где?
Интригует функция NtWow64CallFunction64. По названию, хочется верить, что с помощью неё можно вызвать 64-битную функцию в контексте целевого...
Что-то не могу понять как менять атрибуты доступа для выделенной памяти из 32-битного процесса для 64-битного. [img] Нужна функция аналогичная...
Всё. Разобрался. Оказывается прототип должен быть такой: typedef NTSTATUS (NTAPI *NTWOW64READVIRTUALMEMORY)( IN HANDLE ProcessHandle, IN...
http://j.mp/mTlnrO
Хз. NtWow64ReadVirtualMemory64 возвращает STATUS_INFO_LENGTH_MISMATCH ( если destination-буфер сделать бОльшим, то будет возвращать...
А. Ну вроде понятно. http://drdobbs.com/high-performance-computing/184401966 То есть надо использовать ntdll!NtWow64QueryInformationProcess64()...
Имена участников (разделяйте запятой).
