большинство методов сводится к получению адреса где-то в kernel32, например можно так xor eax,eax mov eax,dword ptr fs:[eax] mov...
Я проверял. Если стоит флаг IMAGE_FILE_DLL то будут, а если не стоит, то не будут :(
тогда уж не от FFFFFFFFh а от 7FF0000h
а я нет, вот блин, смотрел там идет какое-то подобие загрузчика думал оно и есть :( хотя не ... ты уверен что смотрел 1.1.3? он не скидывает dll...
BackOrrifice\bo2k_1-1-3.zip\bo2k_1-1-3\src\src\dll_load.cpp
http://bo2k.sf.net/ поиск по сорсам
SizeOfImage в памяти можно подменить, лучше вместо нее использовать VirtualQueryEx
BoB_Edition http://usar.gorodok.net/yzpack.zip
масмом тоже можно, только через задницу и тасмовский линкер :)
а я специально loaddll для OllyDbg переписывал, чтобы он через LoadLibraryEx грузил =) hxxp://usar.pp.ru/loaddll.for.OllyDbg.rar
читал и рыдал, спасибо :)
т.е. должен выполниться ntdll.KiFastSystemCall (в XP SP2 7C90EB8Bh)? Если я правильно подправил, то все работает :) Тестировал на AMD Athlon...
XP SP2 свалился вот здесь ... mov edx,7ffe0300h call edx Там что такое планировалось выполнить?
Но их обзор почитать следует http://seculab.ru/ru/art/art_new_dongles.phtml
http://seculab.ru/ru/index.phtml скажу по-секрету, там работают люди когда-то первыми взломавшие хасп
Bill_Prisoner Честно говоря никогда не пробовал так делать ... в SectionAdd от Freddy K видно, что написано так: lea eax, [ebp+OFFSET...
А вот здесь небольшая ошибка стоит писать lea eax,[ebp+offset bufer]
а можно и так: push 0 push 0 call x: bufer db "Message",0 x: push 0 mov eax,77d7050bh; MessageBox call eax
Ну просто у Касперского ярко выраженная болезнь Паркинсона :) [img] _678910105__kasper2.html
Помойму где-то на этом сайте лежит книжка типа "101 дзен-буддистская история" - почитай тоже интересно ;)
Имена участников (разделяйте запятой).
