бесконечным числом способов, т.к. преобразуется вся программа, а не ее конкретные инструкции, и конкретное преобразование зависит от контекста в...
отладчик и дизассемблер используют.
AntiB достаточно перехватить только CreateWindowExW, или чтонить уровнем ниже сплайсинг убирать не обязательно, достаточно скопировать куданить...
ничего не имею против конструктивного оффтопа, тем более что я уже получил ответы на сабжевый вопрос
tex32 есть вещи у которых нет аналогов. если кто-то хочет реверснуть что-то конкретное с конкретными целями, он не будет искать альтернативу
рр....... верните редактирование.... я какбэ хотел написать что "стрелкой пирса называется логическая операция" %)
cтрелкой
Clerk спасибо, NtContinue помогло.
не... чтото я не понимаю, как не трогая регистры восстановить eip и esp, если оба лежат в стеке разве что самомодификацией кода
действительно, RtlRemoteCall меняет только eip и esp, так что контекст можно восстановить руками, но мне почему-то захотелось применить апи
как вернуться из RtlRemoteCall? пробую вызвать NtSetContextThread(-2, context) в конце вызванного кода - не восстанавливаются eax, edx, ecx...
64разрядная ws2_32, ну да... ну да...
Flint_ta не я с ней борюсь %)
Flint_ta в том то и дело, что это не "полностью". такое палится на раз.
я все же не верю что найдется тот кто полностью реализует ws2_32 только чтобы перехватить трафик чьей-то проги
все же я сомневаюсь что серьезные люди будут качественно подменять ws2_32, есть более удобные способы. особенно если тот кто подменяет длл хорошо...
ну хз. имхо обычно ws2_32 кидают в папку приложения, а не в системную
%) оригинальная длл уже лежит в папке system32, с ней и надо сравнивать то что находится в памяти с именем 'ws2_32'
Clerk спасибо.
если заменить CreateRemoteThread на QueueUserAPC, наблюдается тот же эффект похоже что SetThreadContext - наше всё.
Имена участников (разделяйте запятой).
