Результаты поиска

Искать ещё
Страница 3 из 7
  1. gribodemon
    Сообщение

    GetThreadContext/SetThreadContext & Entry point

    В общем, похоже, проблема решена. Всего пару строк кода. В моём случае, видимо, будет достаточно восстановить стэк (ESP). Поэтому вот что я...
    Сообщение от: gribodemon, 17 дек 2009 в разделе: WASM.WIN32
  2. gribodemon
    Сообщение

    GetThreadContext/SetThreadContext & Entry point

    Оу. Кажется, __declspec(naked) решает проблему лишнего кода вначале функции.
    Сообщение от: gribodemon, 17 дек 2009 в разделе: WASM.WIN32
  3. gribodemon
    Тема

    GetThreadContext/SetThreadContext & Entry point

    Доброго времени суток! В качестве метода проникновения в новосозданный процесс, я использую сплайсинг точки входа (как альтернатива хуку...
    Автор темы: gribodemon, 17 дек 2009, ответов - 4, в разделе: WASM.WIN32
  4. gribodemon
    Сообщение

    Глобальный Inject

    Ну-ну. =) http://wasm.ru/article.php?article=hidingnt#3_1:
    Сообщение от: gribodemon, 5 дек 2009 в разделе: WASM.BEGINNERS
  5. gribodemon
    Сообщение

    Как выяснить название функции по syscall number ?

    TSS onSide =) Respect.
    Сообщение от: gribodemon, 4 дек 2009 в разделе: WASM.WIN32
  6. gribodemon
    Сообщение

    Как выяснить название функции по syscall number ?

    TSS .text:77E247A8 mov eax, 1212h 1212h - это индекс искомой функции в Shadow SSDT. В скриншоте, что я привёл, максимальный...
    Сообщение от: gribodemon, 4 дек 2009 в разделе: WASM.WIN32
  7. gribodemon
    Сообщение

    Как выяснить название функции по syscall number ?

    [img]
    Сообщение от: gribodemon, 4 дек 2009 в разделе: WASM.WIN32
  8. gribodemon
    Сообщение

    Как выяснить название функции по syscall number ?

    onSide Я тоже так сначала подумал, однако, нет этого индекса там.
    Сообщение от: gribodemon, 4 дек 2009 в разделе: WASM.WIN32
  9. gribodemon
    Тема

    Как выяснить название функции по syscall number ?

    Доброго времени суток! В библиотеке user32.dll был обнаружен примерно такой код (внутри функции SetWindowsHookEx) : Win7: .text:77D220F6...
    Автор темы: gribodemon, 4 дек 2009, ответов - 7, в разделе: WASM.WIN32
  10. gribodemon
    Сообщение

    Проблемы с хукингом LdrInitializeThunk в NtResumeThread

    Кстати, вот что MS-Rem писал об этом: Any comments?
    Сообщение от: gribodemon, 2 дек 2009 в разделе: WASM.WIN32
  11. gribodemon
    Сообщение

    Проблемы с хукингом LdrInitializeThunk в NtResumeThread

    Вот поэтому я специально и взял это понятие в кавычки. =) Я не отрицаю, что у меня мало опыта в программирование подобных вещей. Я, поэтому и...
    Сообщение от: gribodemon, 2 дек 2009 в разделе: WASM.WIN32
  12. gribodemon
    Сообщение

    Проблемы с хукингом LdrInitializeThunk в NtResumeThread

    Ну да, всё получилось. На win2k пока не тестировал, но оно работает. Хукнутая NtResumeThread: SPLICE hookNtResumeThread; BOOL WINAPI...
    Сообщение от: gribodemon, 1 дек 2009 в разделе: WASM.WIN32
  13. gribodemon
    Сообщение

    WinXP диспетчер памяти

    Ox8BFF55 Там есть отличительная иконка UAC'а. А это значит, что скрин диспетчера уже по-определению не от WinXP. Я об этом.
    Сообщение от: gribodemon, 1 дек 2009 в разделе: WASM.WIN32
  14. gribodemon
    Сообщение

    WinXP диспетчер памяти

    Забавные вещи. В топике написано про WinXP, а скрин диспетчера явно от Win7.
    Сообщение от: gribodemon, 1 дек 2009 в разделе: WASM.WIN32
  15. gribodemon
    Сообщение

    WinXP диспетчер памяти

    Возможно, у тебя включён ReadyBoost?
    Сообщение от: gribodemon, 1 дек 2009 в разделе: WASM.WIN32
  16. gribodemon
    Сообщение

    Проблемы с хукингом LdrInitializeThunk в NtResumeThread

    Я думаю, у меня больше времени уйдёт на анализ вашего кода, чем на завершение метода сплайсинга точки входа. Мне бы сейчас в ring3 доделать...
    Сообщение от: gribodemon, 30 ноя 2009 в разделе: WASM.WIN32
  17. gribodemon
    Сообщение

    Проблемы с хукингом LdrInitializeThunk в NtResumeThread

    Или лучше хукнуть NtCreateThread, т.к. походу, там, можно достать из CONTEXT.Eax адрес точки входа и изменить этот адрес, передав управление на...
    Сообщение от: gribodemon, 30 ноя 2009 в разделе: WASM.WIN32
  18. gribodemon
    Сообщение

    Проблемы с хукингом LdrInitializeThunk в NtResumeThread

    Что-то ничего лучше, чем выполнить epInject, снять хук (восстановив начало оригинальной функции) и передать туда управление ... мне в голову не...
    Сообщение от: gribodemon, 30 ноя 2009 в разделе: WASM.WIN32
  19. gribodemon
    Сообщение

    Проблемы с хукингом LdrInitializeThunk в NtResumeThread

    OMG! Подводные камни! CrystalIC Угумс, спасибо. Получаю EP как ты и говорил, respect: #define ProcessSectionImageInformation 0x25 // Getting...
    Сообщение от: gribodemon, 30 ноя 2009 в разделе: WASM.WIN32
  20. gribodemon
    Сообщение

    Проблемы с хукингом LdrInitializeThunk в NtResumeThread

    CrystalIC SectionImageInformation ? http://undocumented.ntinternals.net/UserMode/Structures/SECTION_IMAGE_INFORMATION.html
    Сообщение от: gribodemon, 30 ноя 2009 в разделе: WASM.WIN32
Показано результатов: с 41 по 60 из 128. Вперёд >
Искать ещё
Страница 3 из 7