Весьма наивно полагать что импорт всегда находится в отдельной секции и кроме него там нет ничего. Например у блокнота таблица импорта в секции...
> - вот это прекрасно работает у меня под XP SP2, как с > DEP включенным "для основных программ" так и с влюченным > для всех остальных. Может...
Ну это блин учите мат.часть, мне распинаться некогда да и не грамотен я :)
Компилишь билдером в .obj файлы и делаешь из них сигнатуры. Если сорцов нету, а есть только .dcu то опа - бесплатных публичных инструментов для...
Если это бинарное дерево, то разветвлений всегда два. А если оно будет сбалансированным, то ветвление будет равномерным (но балансом будешь...
Эмулятор делаем, или мэнеджер памяти? =) Поскольку куски большие (4кб) и больше миллиона их вряди будет (4gb), то я бы использовал хэш-таблицу....
И еще один маленький момент - релоки придется из оригинала куда-то переносить и ручками их накладывать после расшифровки. Ну и синхронизация...
Убери у сервиса функцию выгрузки =)
Только это LibName.FuncName должно быть в пределах таблицы экспорта (rva + размер) иначе это будет считаться именем функции :) И кстати это будет...
Я же сказал "forwarding" а не "враппер". Читаешь доку по формату таблицы экспорта, и в подопытной dll правишь имя функции в таблице экспорта так...
export-forwarding тебе поможет
Мобыть надо использовать OBJ_CASE_INSENSITIVE в OBJECT_ATTRIBUTES?
а права есть?
Мдя, так и запишем что искать я не умею. Сбасибо. Но вешать хуки что-то не улыбается. Так что будем считать что процесс я не запущу нормальными...
Можно ли из KMD запусть юзерский процесс? Загуглился - не помогло. Сорцы приветствуются.
> адрес NtContinue Вот тут-то он наверняка и мониторит исключения, и следит за очисткой отладочных регистров (первый параметр функции - контекст)
Берешь appnote.txt от PKWARE, вдумчиво читаешь формат зипа. Про то как криптовать дефлэйтовый поток там тоже написано. Потом садишься и пишешь на...
> Ну код самой kernel32.dll никто и не дебажил.. Ты дебажил хост - вот система при запуске его под отладчиком на все АПИ функции в таблице...
> Это какие-то особенности win98?? Если под отладчиком третьего кольца, то да.
FILE* F = fopen("dump.bin", "wb"); fwrite(hGlobal, 1, SizeofResource(hModule, hResInfo), F); fclose(F);
Имена участников (разделяйте запятой).
