megaaa Как (без изменения сеций кода) перехватываете интересно ?
shinigami1 Какой есчо IRQL, там можно юзать только на PASSIVE/APC, какие пулы ??
Twister Где мой второй пост, удалиле ??
kaspersky Помню он http://www.wasm.ru/forum/profile.php?id=10310 интересовался малварью и её технологиями, так как уже несколько месяцем он ничего...
kaspersky Назовите пожалусто ник.
kaspersky Копипаст токена оО :)
stallker Не знаю, не общаюсь с ним. Он и так стал редко писать, но почитать иногда мне интересно, поэтому нефиг цепляться с вопросами. проще уже...
neutronion Где твои кодесы, техники и прочие ?? Что пристал к Крису то ?
deshiko Объект именованный создайте, секции или есчо какие. Физическая память вся общая.
kamax70 Адрес любым может быть. Вы указали в качестве примера этот. Эти все манипуляции примитивны, неужеле сложно самому подумать ?
Velheart Пишите брейк на начало инструкции. Когда сработает обрабатываете. Что не понятно ?
x64 В ядре ZwOpenProcess ? ы тупее решения не придумсать :P
*push ebp/mov ebp,esp
kamax70 Дизассемблер длин вам нужен. Пролог восстанавливать не нужно и копировать его в буфер тоже - непосредственно обработчик пусть исполнит mov...
Rel Задача бредовая. Согласен с izlesa, юзайте шлюзы напрямую. Хотя чтобы сискол/инт вызвать тоже вставки нужны наверно хз. Как решение -...
kaspersky Давно хотел спросить, мб вам известно как отменить префикс 0x66 в инструкции какимто другим префиксом или их комбинацией ?
Собственно о чём и речь была, не те сервисы дёргаются.
WaterGhost Давайте посмотрим. Брейк на ZwCreateThreadEx и покажите бактрейс.
WaterGhost Потоки создаются не только при создании процесса, понятно что проводник в себе потоки создаёт постоянно. Хотябы разобрались в...
WaterGhost Наверно вы в одном и томже процессе поток создаёте, мб в текушем..
Имена участников (разделяйте запятой).
