Ясн. Поиск рулит. http://www.wasm.ru/forum/viewtopic.php?id=32193
Хм. Впринципе, мне же всего лишь надо получить дескритор ntdll.dll, которая уже загружена в память процесса (чтобы сделать анхук...
Оу. LoadLibraryA в общем, рулит. Хм. Странно. .text:77E32864 ; HMODULE __stdcall LoadLibraryA(LPCSTR lpLibFileName) .text:77E32864...
Я тут немножко при*уел. В общем, kernel32.dll: .text:77E2B6BF ; HMODULE __stdcall LoadLibraryExW(LPCWSTR lpLibFileName,HANDLE hFile,DWORD...
Оки. Respect!
o14189 Какой же я невнимательный. Ппц! А с LoadLibrary-то что делать?
Ух жесть. Просто не могу понять в чём дело. #define OBJ_CASE_INSENSITIVE 0x00000040L #define FILE_NON_DIRECTORY_FILE 0x00000040 #define...
C GetProcAddress понятно - можно через PIMAGE_EXPORT_DIRECTORY достать. А вот что делать с LoadLibrary ...
... и GetProcAddress
А как быть с LoadLibrary ?
o14189 Я попробовал затестить: SetLastError(0); HANDLE hFile = CreateFileA("\\SystemRoot\\System32\\ntdll.dll",GENERIC_READ, FILE_SHARE_READ,...
Сейчас посмотрел на ветви реестра: HKEY_CURRENT_USER\Environment HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment...
Т.е. мне из usermode'а никак не получить путь до папки Windows, используя функции из ntdll.dll? // Запускаю из под Windows7 с выключенным UAC
o14189 Нихрена понять не могу в чём дело: //NTSYSAPI //NTSTATUS //NTAPI //NtQuerySystemEnvironmentValue( //IN PUNICODE_STRING VariableName, OUT...
o14189 Окей, спасибо. А как быть с GetSystemDirectory ?
Доброго времени суток! Сейчас написал код, делающий всё, как в статье "Как стать невидимым в Windows NT"...
NtDeleteFile ? http://undocumented.ntinternals.net/UserMode/Undocumented%20Functions/NT%20Objects/File/NtDeleteFile.html
Great Кстати, IMAGE_REL_BASED_ABSOLUTE вообще скипать можно, а не -1 возвращать.
Great Чёто нигде не видел пофиксеный вариант твоего кодеса. Выкладываю: PIMAGE_BASE_RELOCATION Reloc = (PIMAGE_BASE_RELOCATION)...
Офигенно стабильно работает всё теперь. =)
Имена участников (разделяйте запятой).
