mrcrown inheritedFromUniqueProcessId - так понимаю пид родителя?
Спс за кодес, вгляделся и понял - изменение магического GetCurrentProcessId() на пид удалённого даст нужный результат. З.Ы. Обидно стало - зачем...
Ну может я не совсем понятно объяснил - у меня процесс удалённый, из своего мне надо узнать инфу про них.
Узнаю через ZwQueryInformationProcess пеб иного процесса, пропарсил структуру и выдрал CommandLine - но мне этого показалось мало, хочу ещё как...
У него как раз-таки виртуальные машины на фортране - всё шифруется про помощи метода планки Пирса. Лан, дело ваше, юзайте самописное УГ, надоело...
Stariy Мне не надо док-ть свою теорему - это и так очевидно. Если кто-то хочет опровергнуть, док-ва в студию.
Всё ето бред - покупайте VMProtect v2 и не дурите никому головы, фиг его кто взломает при полном наборе опций, те кто как будто его ломают...
Легко - добавить № создаваемого процесса в lpCommandLine после пути к запускаемому файлу, а затем в созданном процессе получать номер через...
В рамках текущей сессии базовые адреса мапа всех системных либ во всех процессах одинаковы.
Допустим так можно накидать тело шелкода - но ведь его ещё надо и в процесс записать удалённый. Ну тут можно вынести в отдельную declspec naked...
l_inc Ессно это переиначенная цитата - вы должны были понять намёк ;) И не надо перевирать - предложено было юзать E8 с адресом типа DWORD...
l_inc Е8 - локальный вызов (near), ессно здесь не подойдёт 9A - far вызов 15FF - то что надо, но указывать надо не прямо на адрес функции, а на...
Если к примеру шифрование будет по Blowfish то не расшифрует. Тока явное указание ключа не есть гуд. Как вариант сделать формирование ключа сразу...
Угу загнался вчера и то что вызов идёт по содержимому указателя не обратил внимания. Прикол-ка что call far opcode 9A не прокатывает. Спасибо...
Столкнулся с непонятной проблемой при попытке выполнения InternetSetOptionA(NULL, INTERNET_OPTION_END_BROWSER_SESSION, NULL, 0) в чужом IE8...
Опять небось мега анти-чит :D Загрузить в IDA нтдлл и отреверсить ети функции для их понимания. Для безгеморройности советую заюзать символы. А...
Какой-то бред, о чём спор - везде указывается х86 для 32 бит и х64 для 64 бит. Ппц, йа в шоке...
Ustus SYSCALL/SYSRET/SYSENTER/SYSEXIT - в точку, дело было именно с этим :) Ну скорее ето даже не глюки, а просто плохо документированные и...
Я натыкался, но вроде чувствую себя нормальным... ;)
Нафига ето хрень заниматься, для этого дровы есть - начиная с Windows 2003 SP1 ета дырка прикрыта.
Имена участников (разделяйте запятой).
