С асма однозначно.
Бери из лдр адрес и размер user32.dll, затем секцию кода найди(чтобы не юзать проекцию), после как граф. подсистема будет инициализирована...
amvoz Насчёт дескрипторов задай себе вопрос, как определить обьект, окно, процесс и тд.
Нет.
offtop// Endi У меня тоже было, ты целостность структур загрузчика нарушил. Отойду от торча посмотрим.
Ursus О чём ты, ничего показать не хочу, загляни внутрь функций управления хипами, тогда увидишь что реально понять сложно. Никогда не видел...
fireman
Думаешь ? ЗЫ Смени ник, потом думай.
Nt* это хэндлер в ядре для соотв. Zw*. В юзермоде Nt* просто мост на Zw*, Zw* и юзаем. Забудь про хип. Юзай это либо секции.
Пропатчи условный переход и дело с концом.
Показываю 'на пальцах'. http://narod.ru/disk/3922259000/last.rar.html Memory map Address Size Owner Section Contains...
Я ведь не зря с опкодами листинг привёл, сигнатурный поиск юзаем.)
amvoz Товарисчь, ничего себе скозал.. %
divirr
Никогда не понимал зачем нужно усложнять. Вся память общая, любой поток к ней доступ имеет. Эффективнее и проще вызвать сервис...
amvoz У тебя изначально неверный подход. Не имеет значения размер модуля. Поток общается с системой посредством малого числа входов. Не вызывая...
amvoz Понимаешь, если человек не знает но пытаетсо разобраться, для чего и спрашивает чтобы бать направленным - это одно. Когда человек...
litrovith TLS не подходит для динамической защиты.
amvoz Зацени как оля тупит :))) http://narod.ru/disk/3916942000/msg.rar.html
amvoz Интересно почему ни в каком софте нет сокрытия потока от отладчика(ThreadHideFromDebugger), что завело бы подобного крэкера в тупик...
Имена участников (разделяйте запятой).
