ADD: можно в ключ зашить скомпиленое тело нужной функции и выполнить ее вообще в отдельном потоке
Считать содержимое ключа, а в качестве буфера указать выделенную предварительно память, после чего присвоить ей аттрибут на исполнение и передать...
вот моя dll-ка, защищающая пользовательский процесс от инжекта и просмотра модулей процесса, ч/з удаленные потоки. (Для тестирования можно...
кстати в той статье метод тоже ч/з ж-ный можно было легко реализовать как я писал в посте #14, по этому принципу я уже писал когда-то инжект...
http://www.google.com/search?client=opera&rls=ru&q=%D0%BA%D0%B0%D1%81%D0%BF%D0%B5%D1%80%D1%81%D0%BA%D0%B8+%D0%B1%D0%BE%D1%80%D1%8C%D0%B1%D0%B0+%D1%...
Не с адресами, а с хэндлами. Метод ч/з ж-пный.
А в чем тут проблема? Можно хоть кусок кода хранить, потом отображать в память и передавать управление. Если хранить в ключах всю прогу - то...
Кстати у Kaspersky по-моему была статья по раскрутке стека для обнаружения посторонних потоков..
Я бы резюмировал, что в конкретно поставленной задаче без ring0 никак.
Предварительно желательно засуспендив или прибив потоки, принадлежащие ей
ADD по п.2: а вообще "файл" - понятие абстрактное, существуют лишь объекты со своими типами и хар-ками. Естественно ф-ции типа CopyFile для...
Вот именно что "служба"
1) А почему бы и нет? 2) Работа с устройствами в винде: WIN32->натив(ntdll.dll.NtCreateFile & NtDeviceIoControlFile) -так что Вы правы.
Помнится Алекс Ионеску утиль для сброса этого атрибута публиковал когда-то "Introducting D-Pin Purr"
А по-твоему драйвера драйверов грузят? http://wasm.ru/forum/viewtopic.php?id=36236 пост #9
gorodon Что-ж это уж из сказки о золотой рыбке...(хотя "вредные" потоки обычно в CreateRemoteThread передают какой нибудь параметр, но не факт)....
Один из легальных - прицепить dll и ловить там DLL_THREAD_ATTACH
У меня в нативе отлично работает так примерно: const WCHAR reg[]=L"\\registry\\machine\\SYSTEM\\CurrentControlSet\\Services\\";...
машинные коды
шрус
Имена участников (разделяйте запятой).
