Я ж ответил: Можно вставить через заглушку которую вставляет kernel32 :)
Можно вставить через заглушку которую вставляет kernel32
Непалиться, ничем, проверенно, антивири тоже все молчат
Нехочу писать в процесс :)
Я должен заюзать ее как APC
Нужна именно существующая :)
Надо удалить файл, но ф-я должна брать 3 параметра :( MoveFileExA не канает если во флагах нету _ONREBOOT :( Неужели просто так нельзя ею удалить...
Вообще-то считал что это прикольная фича :)
Вот пришел позавчера в голову такой извращенческий способ :) Сегодня реализовал. Или поздно, уже всем известно ? :) Вообще фаеры ловят что-нибудь...
Лей :) Пока качаю с дампа...
Хукаешь #NP и там вызываешь оригинальный int1 (если это нужное тебе #NP, конечно)
Starforce вешает свой обработчик на int1 (#DB, отладочное прерывание) и проверяет к тому же не прибил ли его кто. Но, мы просто снимаем бит...
Сделай так, сбрось бит присутсвия сегмена с обработчиком int1, затем перехвати исключение и вуа-ля.
Причем тут доступ в сеть ?
Выбираешь окно с инфой там прописан старт 1го потока - это и есть OEP.
А вы windbg видели ? :) А под x64 больше нифига нет :) Интерфейс хрень, не это главное... Брякаться обычно, f9 = breakpoint. Прикольно...
Сам его юзаю довольно долго, подсел и теперь на олю смотреть не могу... Радует много мелочей, к примеру при детаче не убивает прогу и проч.
(C) Максим Немировский. Выкладываю его отладчик, отлаживает x32/x64/arm blah blah blah код (юзает msdis150.dll) на уровне сорцов (иногда требует...
(C) Maxim Nemirovsky, я лишь глашатый его гения :)
Всего двумя строчками: #pragma comment(linker, "/export:fn=wininet.InternetDownloadToFileA") GetProcAddress(GetModuleHandleW(0),"fn"); В итоге...
Имена участников (разделяйте запятой).
