60
kaspersky Да ты прав, это смотря как PEB испортить. Ядро при аттаче из двух функций в PEB пишет, это DbgkpMarkProcessPeb(), она устанавливает один...
kaspersky Я думол тебе интересно.., ну да ладно, я себе пропатчил(кому нужно вот): http://openfile.ru/205605/ Версия оли: 1.0.10.0 ps: вобщем то...
kaspersky Посмотрел. Очень просто: [img] Когда жмём в меню File -> Attach, создаётся слепок(системинфо) процессов. Это делоет...
Rustem Но ведь все экспорты известны, наверно перед запуском нужно таблицы создавать. Кстати по теме могу тебе посоветовать интересную весчь -...
deLight Для таких задач юзермодный отладчик не применим, остаётся самому враппер делоть, либо ядерный отладчик использовать, из которого ты...
kaspersky Интересная стотья, спасибо.
V1lko Конечно, почему нет ? ИМХО бред. [Нужна капча и посложнее..]
leo При выгрузке обычно да, но малоли какие махинации выполняются.. Вот запустил из InitRoutine поток, тот который юзал её суспендится.
Возможный вариант: > RtlAddVectoredExceptionHandler(ExceptionHandler) > RtlCreateUserThread() или CreateThread(), CREATE_SUSPENDED. >...
Перед вызовом InitRoutine модуля выполняется захват потоком критической секции загрузчика(LdrpLoaderLock). Новый поток начинается с...
kaspersky Ну в принципе да, там багов хватает. На XPSP2 помню баг был c NtSuspendThread, тоже ось вешало. Ну они там замутили.. NtSuspendProcess...
Можно подробнее, как это ядро повесить, это невозможно..
kaspersky Потести простейший пример.
kaspersky Не знаю как ты его ловил, я не читал. Сделой так. Поток начинается с APC-диспетчера, соответственно это экспорт...
Матчасть(кому интересно). Аттачь выполняется сервисом NtDebugActiveProcess. После того как этот сервис вызван отладчик будет ждать возникновение...
У меня не работают эти трюки, после того как я пропустил создание потока нотификации :)) Запустил олю под олей, а затем брякнулся сюда: [img] Как...
Rustem Попроси у него, у меня нет.
Если тебе нужно логировать ядерный код, трассировщик должен быть ядерным. Если нужно логировать юзермодный код, трассировщик должен быть всёравно...
T800 Думою я уже абсолютно все аспекты в данном топике освятил насчё выравнивания(даже с примерами, где разбирается ядерный вызов), читай заново.
Имена участников (разделяйте запятой).
