не тривиальная =) вот немного об этом - hxxp://artem.ufoctf.ru/?p=243 довольно много там подводных камней =)
ты про прототипы функций? Их там и нет =)
IDR->map->IDA (+flirt)
2max7C4 это да =) ошибся немного.
1. >> hMod=GetModuleHandle("WS2_32.DLL");<=== а про дллку и забыл добавьте потом if(!hMod) LoadLibrary("WS2_32.DLL"); иначе будет грустно...
SZ ну вы код приведете или дальше будем тыкать в небо пальцами?
2SZ я не гадалка. Полный код приводите. хотя попробую: Длл подгрузили? имя точно соответствует экспортам?
2l_inc да все норм =) главное разобрались =)
2SZ что у тебя находится в pFunc? адрес функции же перехватываемой? так какого же черта ты изменяешь атрибуты памяти в которой находится...
да, вы правы. Я забыл что eax до kssdoit не изменится и будет содержать номер сервиса, к которому можно привязать условный bp. =)
2l_inc Протрите глаза уже void *pFunc = SomeFunc; pFunc != &pFunc в pFunc хранится адрес нужной функции, изменить атрибуты памяти которой нам...
2Clerk зачем? он будет стопится ж на каждом вызове сервиса, в то время как он уже знает определенный круг сервисов, вызов которых вызывают бсод....
>>VirtualProtect(&pFunc, 8, PAGE_READWRITE, &old) ты разрешаешь доступ к указателю, те области памяти в которой лежит адрес функции, а не к самой...
ставишь и настраиваешь vmware и windbg (как описано в кернел моде разделе). В варю авера и программу. Я не в курсе как там перехват выполнен -...
1. Как и со всеми. 2. да 3. Нет, не все. Если вы не заметили, все, что имеет невалидные адреса не парсится загрузчиком, кроме фиксапов, но...
2qqwe pefile от людей из zynamics =)
омфг, давайте ещё на джабаскрипте статическую распаковку напишем. А потом будем гонять по гигабайтному архиву малвари ежедневно, потом попытаемся...
2TSS Я считаю, что в вашем примере это ошибка разработчика, что он не понизил irql. Но ладно, это уже демагогия =)
2TSS а что меняется? ты все равно знаешь уровень irql. Да и отдавать управление все равно надо на том же что и получил.
так не надо писать, это ничего не дает. В любом случае для каждого IRP ты заранее знаешь irql, они заведомо ниже или равны диспатчу. Ещё может...
Имена участников (разделяйте запятой).
