Доступ к памяти чужого процесса

Здраствуйте всем.
Возможен ли иной доступ к памяти чужого процесса, нежели WriteProcessMemory\ReadProcessMemory?
И без выхода в kernel mode.

 

CreateRemoteThread, а потом все локально делать уже

 

Ну чтоб CreateRemoteThread сделать, так сначала нада WriteProcessMemory, а то на что мы будем поток делать?...

 

И можно кстати без всяких попыток инжектирования...
2 Great: постоянно в течение одной минуты отвечаешь на мои посты... преследуешь чтоль...

 

Ой и правда ) Тогда только магией вуду.. больше ничего не предположу.

ЗЫ. KeAttachProcess не предлагать?)

 

Не, это ядро.. Неужели в usermode более нет способов???

 

где то ту http://hellknights.void.ru/about.php предлогалось через кучу SetThreadContext/CreateremoteThread создавать свой код побайтно/двордно. Только толку от этого чуть, имхо.

Offtop/ Какие магические комбинации надо ввести чтобы на форум попасть? А то я тупой видать совсем.

 

OMG, да сколько ж можно =)
ясно ведь написано: input 0x48k_rule for username and password =))
сорри за подобные меры, форум постоянно под ддосом


по теме:
можно ещё через NtCreateSection/NtMapViewOfSection внедрить код в адресное пространство чужого процесса

 

Хм. А у меня такого нет.

 

Поставить глобальный хук, а потом DLL'кой читать и передовать в свой процесс. Ну или инжект с помощью реестра.

 

временный файл нужен, однако.

 

Cr4sh
Пример реализации есть? Или вкратце скажите как это сделать.
Хуки все отпадают, я хочу иметь доступ к памяти чужого процесса так, чтоб проактивка авп не ловила.

 

>> Или вкратце скажите как это сделать.
посмотри описание NtMapViewOfSection у Неббета, и сразу станет понятно)

 

http://www.rootkit.com/newsread.php?newsid=715

 

Без драйвера не получится никак, если брать в расчет обход проактивок. Способ с NtMapViewOfSection давно известен и палиццо. Придеться лезть в ядро.

 

Ойоееой, красота!

Вопрос на засыпку: Возможен ли доступ к памяти процесса через открытие физической паямяти(как это описал, к примеру, Ms-Rem для правки GDT)?

 

И кстати, описание функции:
LPVOID NTAPI MyMapViewOfFileEx
вижу уже в 2-х экземлярях:
в первом - MyMapViewOfFileEx(HANDLE hProcess, HANDLE hFileMappingObject, ...)
во втором - MyMapViewOfFileEx(HANDLE hFileMappingObject,HANDLE hProcess ...)
где правильно?

 

Тьфу ты!!! MyMapViewOfFileEx - своя обьявленная функция.

Способ с NtMapViewOfSection работает отлично и не палистья KIS 6.0 проактивкой.

Единственный минус метода - запись в процесс, где участок памяти выбираеться системой. А я собираюсь получить доступ к любому блоку памяти на RW. Есть у кого нибудь еще идеи?
Неужели без выхода в ринг0 не способов?

 

ну записываешь свой код-переходник в АП целевого процесса, и из своей проги взаимодействуешь с ним.

 

Говорю же, необходимо писать именно по адресу P, а не туда, черт знает куда...

ЗЫ: КИС падла, со своей проактивкой ведь может пресечь любой хук usermode'ских. Это что, Теперь актуальны только ядерные хуки? Есть ли способы помимо CreateRemoteThread, SetThreadContex?