Перехват Native API без драйвера

Тема в разделе "WASM.BEGINNERS", создана пользователем Udzhen, 18 окт 2005.

  1. Udzhen

    Udzhen New Member

    Публикаций:
    0
    Регистрация:
    18 окт 2005
    Сообщения:
    25
    Адрес:
    Russia
    Прочитал цикл статей Ms-Rem а "Перехват API функций в Windows NT", и решил написать свой перехватчик...

    С помощью драйвера режима ядра все реализуется элементарно, но мне хотелось бы попробовать реализовать перехват, без драйвера, имея только один исполняемый файл. Вход в Ring0 осуществляю через модификацию GDT, перехват планирую осуществлять заменой адреса экспортируемой функции в SST на адрес своего обработчика, но обработчик перехватываемой функции должен находиться в верхних двух гигах памяти, а как его там разместить, используя только один exe-шник, ума не приложу.

    Пожалуйста, подскажите хотя бы направление в котором копать.



    -------------------------

    Большой респект Ms-Rem у.

    С уважением Евгений.
     
  2. electron

    electron New Member

    Публикаций:
    0
    Регистрация:
    26 май 2005
    Сообщения:
    32
    Как мне кажется, можно использовать ExAllocatePoll.
     
  3. Udzhen

    Udzhen New Member

    Публикаций:
    0
    Регистрация:
    18 окт 2005
    Сообщения:
    25
    Адрес:
    Russia
    Спасибо!