Читал. И вот это InjectThisExe(PROCESS,RemoteMain); с последующим вот этим CreateRemoteThread(Process,NULL,0,EntryPoint,NULL,0,&dwThreadId);...
Так мне показалось, что он внедряет текущий образ в адресное пространство другого процесса, и не похоже, что код базонезависим. А с...
Во-первых: dwNewModule = VirtualAllocEx(Process,NULL,dwFuncSize,MEM_COMMIT | MEM_RESERVE | MEM_TOP_DOWN ,PAGE_EXECUTE_READWRITE); выделит...
В масме это переваривается. А этой командой заталкивается в стек значение Proc2_ADDR. Компилятор сгенерирует такой код push [ecx+xxxxxx] p.s....
push dword ptr [ecx+(offset PROC2_ADDR)] == push PROC2_ADDR[ecx] зачем лишние буквы?
Ну это дело привычки видать:) Не понял, а ка это базонезависимости помогает?
AksakaL Жуть:) Зачем на каждом шагу dword ptr и offset втыкать? А по поводу сабжа тоже хотел бы просветлиться. p.s. Народ, а никто не писал...
прочитай это http://www.wasm.ru/article.php?article=green2red01 и это http://www.wasm.ru/article.php?article=green2red03
Чего в wikipedia только не встретишь :) http://ru.wikipedia.org/wiki/Падонки
el- А это в 2000 работать будет? Без импорта? Для Xp и в 97 создать можно тут недавно вот эту ссылку выкладывали...
После ret управление передаётся в kernel32, а уже потом обратно в программу. Включай отладчик и всё увидишь.
То, что ты возвратишь системе в еах - это важно для системы. В твою программу это значение не вернётся при LoadLibrary, если ты про это.
А он какой, захват мира, или с этим пока подождёте?
k3internal А я и не спорю:)
crypto Так управление не точке входа первым делом передаётся, и на точке входа всё что угодно быть может. dermatolog И правда очень похоже на...
А вот и мой. Поудобнее будет т.к. не надо пути к проекту настраивать. Вызывается так: d:\programs\asm\SourceInsight3\Projects\make.bat %f Ещё в...
Как это у меня вот на эту страницу(аттач)
Я батников понаписал.
Запросто может. К примеру - это запакованные данные, а их распаковка происходит через тлс или в одной из dll, что в импорте. Xerx Без проги тебе...
KingT Нормально он работает.
Имена участников (разделяйте запятой).
