блин что-то не могу понять когда я создаю проекцию памяти на чтение и исполнение, как мне свой код то туда записать? HANDLE sec = 0; DWORD addr =...
базонезависимый - так то оно так, но KiFastsystemCall затирается при анмапе старой секции кода.
я нашел кусок кода из утерянного ProtectImage от Клерка. В общем я как-то так и предполагал. С кернелом 32 это все ясно, а вот самая беда с ntdll....
Заменить Imag на Map? Я полагаю это делается так - копирую все что у нас в ntdll куда-нибудь в сторону, далее ZwUnmapViewOfSection на ntdll, далее...
если я правильно понял, по настоящим адресам вместо функций будут джампы на новые адреса? если так то это по идее не спасет от полного...
не очень понял. т.е. смысл в том чтобы PE заголовок остался на месте а изменились только местоположения секций?
В общем по умолчанию так делать конечно нельзя. Но я слышал, что эту проверку можно как-то обойти. Какие есть варианты? цель - усложнить процесс...
C2H5OH у меня юзермод. ETHREAD можно получить в юзермоде?
да собственно задача то намного проще у меня. просто я не уверен что на всех версиях винды именно в eax будет адрес старта.
Задача в отслеживании стартовых адресов новых потоков. Сейчас у меня для отслеживания новых потоков идет перехват NtContinue. Из переданного в нее...
а так, у меня была такая же мысль.
короче с этим wow64 вообще что-то непонятное творится. Без wow64 при ручном создании потока, и при создании удаленного потока вызывается...
Создаю тему тут, потому что под WOW64. Работаю с 32-битным приложением. Разрабатываю 32-битную длл, для мониторинга потоков. Для сбора инфы о...
а если "правильно" делать приложение на чистом(если это можно так назваать) ооп в С++, всеравно нужно все из функции мейн делать?
[img] как вы сказали, так все работает. С /МТ получаем это [img]
попробуй с /MT
1>LIBCMT.lib(crt0.obj) : error LNK2001: неразрешенный внешний символ "_main" или надо обязательно с msvcrt?
насколько я помню, без них тоже все работает, по крайней мере MessageBox 1>main.obj : error LNK2019: ссылка на неразрешенный внешний символ...
спасибо, как минимум теперь я знаю что так можно. осталось только заманглить метод, желательно в своем неймспейсе.
ну если я долбоеб, тогда объясните мне, откуда у класса могут быть функции? а зачем - я уже написал, что не для практического применения.
Имена участников (разделяйте запятой).
