короче чекай, что первая команда PUSH или MOV :P
Denwer есесно я смотрю ядро)) нафига мне сдалась ntdll. Я что говорю-то: в ядре много Nt* функций начинаются без пролога.. тока что посмотрел...
хм..чето все функции Nt* не имеют пролога
REALiSTiC кошмар а не код:) lodsb / xor / stosb рулят
Вообще универсального способа отличия быть не может, т.к. переменная может содержать код и вызываться как функция, и, наоборот, может быть чтение...
Можно. if( URLDownloadToFile( NULL, "http://site.com/stat.php?id=2343434", "nul", 0, NULL ) != S_OK ) { ... }
HoBleen Это тоже не панацея. А разве косвенного вызова быть не может? Например: mov esi, offset func call esi Для команды mov esi, offset func...
фиксапы чтоли? а чем они помогут то
Действительно, единственное. Хотя это тоже маскируется отдельно, но стандартным cli оно не максируется. Применение в винде: На некоторых корпусах...
Где-то была уже тема про SYSENTER/SYSEXIT, где было сказано про принудительное превращение модели памяти в flat при выходе из сискала по SYSEXIT.
n0name на 99% ) только обратное неверно - если это переменная, там не обязательно лежит 0. тем более она может быть не DWORD, а, например, всего...
хы ) наверное для надежности :P
гыгы, неужели)) пошел проверять
RamMerLabs скорее всего так =) а вот разница примерно минут в 10-12 есть на самом деле=\
ну не скажи:)
а это про что тогда? в чистом виде в бинарники виден только импорт. ну я и грю - анксоришь строку, потом LoadLibraryA, потом GetProcAddress. Вот...
не меньший изврат :P
да
скорее всего имеется в виду импорт :P решение - динамический импорт с шифрованием имен функций
Очищается для того,чтобы гарантированно там ничего не было. Вдруг там случайно чтото окажется) Резервировать для тех же целей. Потом постранично...
Имена участников (разделяйте запятой).
