Не могу найти откуда экспортируется InterlockedAnd, в заголовочных файлах из DDK она есть но в либах нету и нету в драйверных инклудах(от Four-F), в общем откуда её импортировать? И ещё вопрос, так же не могу найти NtCreateKey, она определана в ntdll.inc но это же юзерская либа, линкуется нормально но драйвер с ней не запускается, в ntoskrnl.exe почти ко всем Zw идут пары Nt функций а вот NtCreateKey нету, так гдеж её взять?
Тьфу блин, InterlockedAnd оказалась всего последовательностью i dd ? .. xor eax, eax mov ecx, offset i lock and [ecx], eax А везде блин расписывается как отдельная Api Функция
2FED Смысл в том что при портировании на 64 бита, тебе нужно будет тока вызвать функцию (а точнее собрать исходник под 64битную среду)... А там уже все портированно ). Так что есть смысл.
steelfactor RtlCreateRegistryKey к сожелению не подходит. Так откуда же она всётаки экспортируется? походу ниокуда, я уже в папке system32 у всех модулей с текстом "NtCreateKey" проверил таблицу экспорта, ни один не экспортирует(ну кроме ntdll.dll). Но тогда возникает вопрос в каком она воабще модуле находится, ntoskrnl.exe? и как её найти по имени?
но темнемение если ввести в софтайсе "u NtCreateFile", он покажет начало этой процедуры, только вот не говорит из какого она модуля, отсюда следует что эта процедура всётаки откудато да берётся хоть и (ntos) её и не экспортирует.
из статьи ms-rem но как быть если ntos не экспортирует данную функцию, тот же NtCreateKey. нашел я его в sst а там адрес перехватчика, как узнать реал адрес? антивирус как то узнаёт.
Ну определяю то я его в памяти, в общем я так понял чтобы найти правильный адрес нужно его вытащить из ntos на диске
