У кого-нибудь есть сабж? (именно на Си, а не на Дельфи) Кажется, кто-то переписал на Си и выложил. Месяца 2 назад линк мне попадался на глаза. Вот сейчас понадобился, а по закону подлости минут 40 нагуглить не могу. Могу, конечно, заюзать Detours, но хз как оно с ring 0 дружит, а в Рем'овском коде пару апишек ядерными аналогами заменить и всё ок.
delphi_jedi Это то, что тут в аттаче http://www.wasm.ru/article.php?article=apihook_2 ? Ну и зачем оно. Полистал, посмотрел наверно на то время это було кульно, дельфи.. Прокоментирую некоторые аспекты. http://www.eof-project.net/sources/Malum/VirXasm32_v1.5adv/ Просто дизасмом длин пройти, не тру. Строем граф для всей процедуры без раскрытия вложенных процедур. При трассировке находим инструкцию, расположенную по наибольшему адресу. Там наикривейшие способы. Аналогично как и инжекты. Рэмо юзал калгейты, которые ставил через проекции физиклмемори, способ рабочий, вот только потенциальный бсодогенератор(хотя можно поправить, но придётся в ETHREAD лезть). Лучшеб IDT юзал, или калбэки какие. В остальном не нашёл ничего пригодного для захвата кода патчем(сейчас не актуально, но всёже..). Да и вобще это тривиальная задача, десяток минут уйдёт чтоб самому написать. Главное не забывать что после сброса CR0.WP нельзя юзать выгруженную память, для этого нужно обратиться есчо до маскировки прерываний к целевому адресу.
