amvoz О ужос.. Вобщем вы есчо не приблизились, так что не нужно кричать было.)
amvoz Какое мнение.. вот вы с дескрипторами разобрались, с потоками ? Нет - ну так будите продолжать вводить людей в заблуждение...
NTSTATUS NtDelayExecution ( __in BOOLEAN Alertable, __in PLARGE_INTEGER DelayInterval ) /*++ Routine Description: This function...
AsmGuru62 Не выровнен у вас стек. 92FDFAh Почему - да потомучто в виндоз можно использовать только переменные кратные 4, а у вас там гдето либо в...
DeKrant Тоесть как обычно, "дайте код.." ?
На InitRoutine() какие ограничения ?
DeKrant Кому он его рекоминдует ? Чего предлагать то, поиск заюзай. Читале пост #5, или я для себя пишу. Деторус - что там сплайсинг.. фтопку....
test896 Вам верно сказал Freeman - вы смотрите под отладчиком образ в памяти, в нём секции выравнены на границу страницы -...
STATUS_DATATYPE_MISALIGNMENT equ 80000002h Выравнивайте стек на 4(если параметр в нём).
Какие параметры передаются в NtDelayExecution ?
Там прводник не причём, ядро тоже. Это обрабатывает winlogon!RootDlgProc
Найдите сурцы кейлоггера без ошибок. PTHREAD - судя по имени pThreadObj это должен быть PETHREAD или PKTHREAD.
Там многие секции после отработки освобождаются, как например INIT или секция релоков. Грузите с диска модуль.
only Спасибо. Sol_Ksacap Реально винда порченая :( Впрочем как и ваш дебуггер.
DeKrant Деторус - это гуано полное. Есть множество способов эффективной защиты и очень эффективной, но это слишком обширный вопрос чтобы его...
SashaTalakin Да, я это умею и надеюсь не только я. Проекция модуля заменяется на приватные секции...
Не то, совсем не то. Подход должен быть иным - вопрос, на него поиск ответа. Иначе даже практики, которая всё и решит не будет.
Залейте пожалусто ntdll.dll от x64 и ядро.
msgina!WlxStartApplication() юзается в контексте винлогон, проводник запрос передаёт на пайп или порт хз. Нужно продебажить и посмотреть.
Вот например код: Call ProtectCurrentPage Call ValidataCodeChecksum -> exit Call IsTracerActive -> exit [...] Call dword ptr ds:[XXXX] [...]...
Имена участников (разделяйте запятой).
