CrystalIC А из какой либы эта функция-то вообще?
Ну, я, конечно понимаю, что мне нужно драйвер писать и сплоеты для него. Но, просто, хочу разобраться с usermode'ом сначала. =)
Я вызывал GetThreadContext в хукнутой NtResumeThread. Там все регистры по нолям стоят. Ещё какие-то способы, может, есть?
CrystalIC Respect. Сразу хочу извиниться за потенциальные глупые вопросы (просто не совсем представляю себе полную картину). Но всё-таки, ... Т.е....
Походу действительно работает. Сплайсинг точки входа. Работает на win2k & на win7. Покритикуйте кодес, пожалуйста: Хукнутая NtResumeThread BYTE...
Wow. o0 Its under development. Когда будет релиз - приведу его в порядок. Т.е. в итоге что нужно делать? Т.е. как отловить этот момент: "когда...
Так. С ntdll!RtlCreateUserThread вроде понятно. Надо было вызывать kernel32!ExitThread при выходе из функции потока. Я вот ещё подумал - я же...
Причём я ставил INT3 в самое начало функции удалённого потока и исключения не произошло, значит ... не туда передаётся управление что-ли? Хотя,...
Сейчас попробовал создать удалённый поток с помощью функции RtlCreateUserThread. На winxp тестирую - при вызове ZwCreateThread (внутри...
Тут ( http://69.10.233.10/KB/system/InterceptWinAPICalls.aspx?display=PrintAll ) говорится что ... Т.е. можно сплайснуть точку входа в процесс,...
Кто-нибудь хукал NtCreateThread ? Отпишитесь о результатах плз.
Если заменить WaitForSingleObject на Sleep, то ничего не меняется.
Нет. Всё-таки меняет. Для диспетчера задач наконец-то вызывается отладчик и показывает Access Violation непонятно где: [img]
Нет. Это не так. Я гоню. return 0 ничего не меняет.
Сейчас поставил return 0; прямо в начале функции Inject и оставил WaitForSingleObject. Работает. А это значит, что перехват работает ... слишком...
Для наглядности: win2k sp3. запуск ie. родитель - зараженный explorer: [img]
Кто-нибудь, подкиньте код как вы хукали LdrInitializeThunk. Я запарился уже.
Я же говорил об этом уже. WaitForSingleObject я вызываю после CreateRemoteThread в хукнутой NtResumeThread, чтобы хукнуть нужные функции до...
Сейчас читаю исходники. К примеру: http://www.hxhonk.com/2/3.htm CreateRemoteThread(hProcess, NULL,...
Однако в статье "Как стать невидимым в Windows NT", говорится, что мы всё-таки можем использовать LoadLibrary, чтобы сравнить хэндлы библиотек:...
Имена участников (разделяйте запятой).
