Я как раз так и делаю :)
Folk Acid Это все уже за километр несет параноей :)
А зачем мне получать реальный IP? Это совсем не нужно. Большинство троянов сейчас работают по backconnect схеме. А если и нужно будет всетаки...
Функция GetProcAddressEx работает с уже отображенным образом PE файла а не с его RAW данными. Нужно сначала отмапить файл по секциям, либо...
Dmitry_Koteroff Вот приблизительный код GetProcAddress на сях, правда там много лишнего (поддержка экспортов по ордилалам, форвардинга и.т.д.)....
Для начала нужно загрузить этот экзешник с помощью LoadLibraryEx и с помощью GetProcAddress определить адрес интересующей функци. Затем...
нет, но думаю копать надо в сторону win32k.sys. Для начала дизассемблируй API работающие с clipboard'ом и посмотри что они вызывают.
Смотри исходники Process Hunter, там как раз есть перехват int2e, но только он не работает на SMP системах. Для установки векторов прерываний на...
Наличье объекта ядра определяется не только количеством его хэндлов, но и количеством указателей на него. Объект разрушается когда он никем не...
Странно, со сплайсингом у меня никогда проблем не было ни с ASPack ни с ASProtect программами. Отладчик - лучший инструмент для рзбора таких...
У тебя наверно перехват идет через таблицу импорта?
GetStartupInfo хэндл файла из которого запустился процесс не возвращает.
Хеш в памяти вычислить практически невозможно по следующим причинам: 1) Процесс может иметь глобальные переменные находящиеся в секции данных...
Не забывай что система может работать не только с 4кб, но и с 4мб страницами, при этом структура PTE будет несколько иная. Также существует еще...
С помощью MDL можно ее отобразить на другую страницу с нужными атрибутами.
PROCESSOR_MODE передаваемый в MmProbeAndLockPages означает только режим проверки адресов на их принадлежность к юзермодной памяти, а в...
Вроде все правильно и должно работать. Попробуй посмотри в айсе что лежит по адресу pDE->KCT когда ты вызываеш MmProbeAndLockPages, скорее всего...
И зря решил, эта функция должна использоваться только для неподкачиваемой памяти.
STATUS_ACCESS_VIOLATION Ты обращаешся к памяти на чтение или на запись? На тех страницах стоят соответствующие атрибуты?
Я всегда ненавидел, ненавижу и буду ненавидеть ООП. А особенно сильно я ненавижу .net, настолько ненавижу, что готов собственноручно убить...
Имена участников (разделяйте запятой).
