А зачем вобще импорт. Подобный код следует реализовать в виде пикода.
Это символическая ссылка. Можно её раскрыть NtOpenSymbolicLinkObject/NtQuerySymbolicLinkObject. У меня это "\Device\Harddisk0\Partition2\WINDOWS"....
Бросьте вы это, лучше уроки идите делоть.)
Понятно. Базу процесса - что это значит, вам адрес обьекта процесс найти нужно, или начало виртуального адресного пространства в физической памяти...
leo Насчёт кратно 64к - неверная инфа. Можно зарезервировать страницу памяти и рядом выделить две, всё будет успешно выделено.
leo Да смотрел, останов происходит по Int 3. Как не крути будет вызван ядерный сервис, который и выделит память, а что у вас там за проверки в...
ohne Судя по вопросу: Будет и перемещение памяти и антидамп и эмулятор бгг.)
А она не используя NtAllocateVirtualMemory работает ?? Вы знаете есчо способ выделить память в юзермоде(проекции не в счёт) ?
Толку от шифрования, если в памяти модули распакованный. Наверно очередное гуано - криптор да ? Сохранение дампа рулит.
Эта функция будет вызвана при вызове любого теневого сервиса автоматически, зачем вручную её юзать.
Мы с товарищем хотели в сплоите заюзать. Код прозрачный всеголишь установка шлюза. Рабочий, использовали следующим образом. Некоторая уязвимость в...
Любой антивирус и детектор руткитов относится равнодушно к регистрации дебуггера и сервису 0x30404 порта \ApiPort создающему удалённый поток,...
А не проще будет поток создать и нормальную MessageBox* вызвать ? И окно нормально будет и никаких проблем с совместимостью.
Great Видимо вопрос именно про смену дпл.
leo Какие 64k ? У меня одна страница чудесно так резервируется.
На кряклабе спроси, там они в этом гуано ковыряются.
Кстати на свой стек нельзя точки останова ставить.
mov byte ptr [Var],al Размер |0xC0000.
MEM_RESERVE убери.
Значит STATUS_CONFLICTING_ADDRESSES. Значит вызывай NtQueryVirtualMemory(MemoryBasicInformation) для этого региона, там видно будет.
Имена участников (разделяйте запятой).
