Может кто то показать пример перехвата NtCreateThread или RtlCreateUserThread в юзер моде без драйвера?
На каком уровне цепочки ф-ций тянущихся за CreateThread происходит инициализация TEBа ?
Можно ли вообще перехватить NtCreateThread в юзермоде?Если нет,то есть ли юзермодная альтернатива перехвату NtCreateThread?
К сожалению я недостоточно хорошо знаю ассемблер.
Что то у меня ничего не получается( struct jmp_far { BYTE instr_push; DWORD arg; BYTE instr_ret; }; BYTE original[6]; jmp_far...
Что то я не нахожу в гугле об этом ничего,для винапи. А если используется динамически _beginthreadex из какой то msvcrt ? ЗЫ:мне не просто надо...
Допустим есть какой то процесс,есть дллка спроецированная в его адресное пространство.Как при помощи этой дллки перехватывать создание потоков в...
Забавно на мсдне столько примеров с FormatMessage,а сами индусы его не используют О_о
Странно тогда что загрузчик сам не форматирует свои сообщения.Допустим если он фейлится во время инициализации какого то процесса то вылазит...
Есть ли такое в природе?
#pragma comment(linker, "/SECTION:.rsrc,WR") По чему такое не работает? LINK : warning LNK4039: section '.rsrc' specified with /SECTION option...
Таки верно, код просто непашет ( typedef enum _THREAD_INFORMATION_CLASS { ThreadBasicInformation, ThreadTimes, ThreadPriority,...
Щяс глянул адреса PEB,из TEB родительского потока и дочернего.Они разные О_о Это что получается у каждого потока свой отдельный PEB?
О точно затупил :( там же IN а не OUT
Как получить виртуал адресс TEB в адресном пространстве процесса,если есть только хендл потока? Пробую вот так typedef enum...
Наверно я не совсем с той стороны начал.Я пытаюсь понять по каким сигнатурам можно определить,начало ф-ции в отмапленном PE файле.
Вот тут http://habrahabr.ru/blogs/cpp/90377/ уверяют что большинство ф-ций в дллках начинаются,так: mov edi,edi push ebp mov ebp,esp...
Вот это HMODULE lib; HANDLE upd; void ErrorDescr() { DWORD erId=GetLastError(); wchar_t erbuf[1024]=L"";...
Секция .CRT составляет 75% от размера всего выходного файла.
Что и куда нада добавить в Makefile.msc,что бы отключить проверку буфера?Добавление -Gs- в CFLAGS непомагает ((( ЗЫ: а какие то внутренние...
Имена участников (разделяйте запятой).
