Здравствуйте! Есть функция(ее машинный код), как я могу ее внедрить в процесс, чтобы например вместо NtOpenProcess (ntdll.dll) использовалась моя функция? Есть ли статьи о таком? Это надо для 64 битной винды Спасибо!
Так я ж говорю, что надо хукнуть функцию только в процессе одном, не в таблице системной. Можно ли просто сделать так, засунуть мой машинный код в память процесса, и как-то хукнуть, чтобы вместо ntOpenProcess использовалась моя фнукция
Hippey Можно, но только на x86. На x64 не используется LDT. Повторяю, маршрутизация как способ отложенной передачи управления это наше всё.
K10 Можешь помочь с ссылками на статьи. Из википедии я понял, что это называется модификация IAT таблиц процесса, но вот не могу найти статьи про это. Можно ли это сделать из ядра?
Hippey И помните про патчгвард. Ваш код будет работать до срабатывания таймера, затем ось уйдёт в бсод.
Patch Guard контролирует целостность ядра и ядерных структур. К режиму пользователя он отношения не имеет.
