Сервисные апи вот. Одно из свойств обьекта это его имя, оно задается как OBJECT_ATTRIBUTES.ObjectName:PUNICODE_STRING
Пример. LoadLibraryExA( LPCSTR lpLibFileName, HANDLE hFile, DWORD dwFlags ) /*++ Routine Description: ANSI thunk to...
gale А для чего вам ? Вывод таким способом сообщений нужен в очень спец. случаях. Этот сервис выводит статусный код ошибки без необходимости...
malex Rtl* это нэйтив, обычному приложению это не желательно использовать. Имеются аналоги(обертки) в виде winapi, eg IsTextUnicode. В данном...
В рантайм, дай бог памяти RtlIsTextUnicode().
Rel Авер что бы открыть нэйтив тело исследуемого образца запускает его в виртуальной машине. По причине тайминга вирта до предела проста и...
В параметрах инструкции линейный адрес: он вычисляется, проверяются права доступа, адресная трансляция и тд, это все предвыборка(prefetch). Затем...
В IA нет дереференсов ссылок, тоесть нет обращений в память по указателю на указатель. В Buf указатель(ссылка) на буфер, в инструкции fxsave...
GdiSharedHandleTable проецируется как секция вот: // map a READ_ONLY view of the hmgr shared handle table into the //...
Механизм проецирования можно посмотреть, тут инит ядра, тут мап в процесс. Не известно как это работает, но открыть на запись usd нельзя, иначе...
Ссылка на таблицу может не быть в коде, так например в этой версии используется смещение ссылки в обьекте, те KTHREAD.ServiceTable. Другие...
Случайно нашлась публикация по теме сокрытия памяти: Splice: Efficiently Removing a User’s Data from In-memory Application State Какая то муть...
Research Предполагается эмулятор cpu, а не ос. Винь не выполняет теневую обработку инструкций для нэйтив мода, за исключением некоторых ловушек....
Research Как вам этот эмулятор, женский между прочим ;) Смотрим деление, не хорошо не плохо, но лучше чем своя алгор. реализация.
Поискал подходящие эмуляторы(которые не авер), готового не видно :sad: unicorn это вроде как транслятор(qemu), значит нужен буфер wx. Из тем по...
shanya0xff В некоторых сервисах есть проверка стека, если он не в диапазоне указанном в teb, процесс киляется. Сделано для защиты от rop. В...
shanya0xff Это получается транслятор, аналогичный dbi, с ограничением на исполняемую(wx) память. Не получится использовать кодовый кэш, куда...
Ссылка на ядерный обьект получается через ObReferenceObjectX, что синхронизирует доступ, но апи для слабаков ;)
shanya0xff Не понятно ничего. Это эмуляция нэйтива, интерпретация виртуализированного нэйтив кода или интерпретатор своего" вирт кода(своя...
Какого рода вирта? Это может быть интерпретатор или виртуализация нэйтивного кода(обфускация в общем), частичная эмуляция и тп. Нет четкого...
Имена участников (разделяйте запятой).
