Ага, и проверку на jmp/call. В ADE32 оно флажок ADE_REL (или как там его) вернет. Но в конкретно нужной тебе функции точно не будет прыжка....
Гм, ничего сложного в сплайсе нет. 1. Берешь дизассемблер длин, их сейчас куча. Пример - ADE32, LDE, etc. 2. Кормишь дизассемблеру начало функции...
SetUnhandledExceptionFilter не совсем то что тебе надо :-) KiUserExceptionDispatcher - то. Смотри почему. Вариант с SetUnhandledExceptionFilter:...
Хукай KiUserExceptionDispatcher. Оно NT-only, но глобальное - 100% получишь exception до любого программного кода.
cppasm Угу, я писал что не всегда получится заменить на call. В обычном случае, без замены, будут ловиться exception'ы. Уже в exception будет...
Каким таким образом? Он же в r0 ловит exception, его обрабатывает (эмулируя инструкцию) и меняя EIP возвращает управление. Или я чего то не понял?...
Только один раз ;-)
cppasm Не вижу разницы - хоть драйвер и работает в контексте текущего потока, тебе все равно надо хранить в памяти отдельный набор регистров для...
Относительно простой метод: 1. Делаешь inject в процесс своей DLL 2. Хукаешь VEH 3. Запускаешь. 4. Произошел exception, смотришь какой. 5. Если...
Ыыы... То что он "принял" в Nsend - в параметрах Nsend. Вобщем, RTFM по winsock send()
prus Принял? Может отправил? :-)
Про 7: Если я не ошибаюсь, старый добрый CIH себя между секциями записывал. Но это было во времена 9x...
Определи INTERNET_SERVICE_FTP, наверное...
prus Твой ответ никакого отношения к проблеме Selah не имеет.
Тебе открыть как файл или открыть в смысле показать в дефолтном браузере? Если первое - CreateFile Если второе - ShellExecute
Хук на 3D api либо overlay.
Царь горы - кто "ниже" сядет, тот и рулит. Замкнутый круг - обращение к файловой системе тоже можно перехватить.
Гм, я стандарт не писал, не знаю ;-)
ищи тестовые последовательности, я где то их видел.
С GameGuard не все так просто. Советуется почитать статью о GameGuard на reverse-engineering.net В двух словах: 1. GG ставит драйвер, который...
Имена участников (разделяйте запятой).
