более правильно было бы спросить - как в токене не-админа заенаблить seloaddriverprivilege сразу скажу за себя - не знаю, не пробовал счас только...
если ты выгрузишь длл в которой работает тред - получишь AV сделай евент и проверяй его иногда когда евент встанет - freelibraryandexitthread...
да можно конечное пишешь драйвер который все останавливает в том числе все интеррупты дизаблит сохраняет системные таблицы готовит свою - плоскую...
холи вар однако мне кажется что ООП все же такой индустриальный способ программостроения для людей которые хотят побыстрее сдать и забыть качество...
а эти new/origNtCreateProcess - они __stdcall ? по тексту не очень понятно
делюсь 32-64 битный инжект-ремув показывает код ошибки LoadLibrary можно задавать PID можно имя процесса
мне лично кажется что ты путаешь SEH котрый try/except и UnhandledExceptionFilter то что у тебя в примерах - это функционально...
CreateRemoteThread -> GetLastError() = 8 если процессы находятся в раззных сессиях см. MSDN, там все написано кроме того почему такой странный код...
SDT какая-то левая в 64 то есть там мусор какой-то (на первый взгляд, я не понял что там) и еще она не используется а хукать-то можно и SDT и IAT...
это эмулятор хаспа для какого-то строительного аппликейшына ничего не вырезал должен и эмулировать в том числе ж-))) шифруется правда как я сейчас...
попытка прочитать и понять это...
к сожалению не вижу как я могу этот твой код себе вставить собери маленький дрв и приаттач если интересно я проверю на падучей лабе
wp.asm ;хотите BSOD? вызовите restore без предварительного disable ifdef _WIN64 .code public disable_write_protect disable_write_protect proc...
разобрался очень приблизительно значицца так на той варе где упало было PAE я его выключил (boot.ini - /nopae /noexecute=alwaysoff) падать...
параметры в vmx-е вернее их там нет надо дописать тулзы в первый раз слышу чтоб не устанавливались все вопросы - сюда...
вот нашел и я ХП где падает уже стало очень интересно
только что у себя проверил vmware workstation 5.5.3-34685 windows XP professional version 2002 service pack 2 computer Intel(R) Xeon(TM) CPU...
я делал так - шифровал 2 раза прогу, ключи хранил в бут-секторе насколько мне известно попытки скопировать были но защита выдержала создание...
at.exe любая прога запущенная этой штукой работает под аккаунтом локалсистем
потому что диск это фактически девица (см. IoGetRelatedDeviceObject)
Имена участников (разделяйте запятой).
