Возможно ли поставить хук на доступ к определённой области памяти (имеется ввиду доступ по чтению). Если да, то объясните как.
не имеет...
как еще можно найти то, что не экспортируется?? только поиском...
WIN32 http://www.rit.edu/~jrk9185/rootkit/6-7/rootkit.c вот сорец идентичный твоему, смотри ... ищи несоответствия :)
кривая реализация, на WIN2K3 тестили хоть? адреса переменных отличаются... В общем решил я свою проблему, т.к. поиск переменных по смещению в XP,...
Grear может стоит заглянуть в сорцы IE, вернее его либ которые он юзает и поискать ответы на вопросы там ...
... жаль Ms-Rem'у так и не удолось воплотить в реальность его отладчик ядерный ...
хех)) как вы с помощью перехвата сокетов будете редактировать HTTPS трафик? Он же шифрованный идет.... ниче у вас не выйдет) а насчет gzip...
в общем мой код по восстановлению SDT пашет на XP sp2, 2k sp4, 2k3 sp2 ...
IceFire искать KiServiceTable по сигнатуре... а вот номер следования в нормальной винде всегда первая, если рассматривать другие случаи.... ну...
im1111 ну через NtOpenFile мы ж всетакие в r0 ;) код тестил на XP SP2, 2000 SP4, щас доставлю 2003 SP2 и проверю там)) хотя работать должно :)
Nouzui теоритически да :) не спорю... практически.... ну все такие C705XXXXXXXX слишком уникальая сигнатура :)
im1111 что такое релоки и как они работают я знаю, а как работает мой код ты не знаешь :) поправочка, на входе у функции образ ntoskrnl.exe с...
интересно как это если при компиляции указывала на одну переменную, а после релокейшена на другую? да бред ИМХО :)
Great может и мухлюю :) что взять с человека, который 4ый день только нулевое кольцо изучать сел :))
Как лучше убирать врайт протекшн, через WP бит, или же допустим как я это делаю: NTSTATUS UnprotectMem(PVOID pMem,ULONG uSize) { PMDL pMdl =...
зачем плодить гавнакод в ядре... Рассуждаем логически чекаем опкод C705, возможно mov [mem32],imm32, определяем что mem32 ==...
Nouzui а ты проверь на всех версиях :) кстати... ужасный код поиска KiServiceTable... ктото особо умный придумал его и все разом давай копипастить...
необходимо реализовать для win2k... глянул дизасм, там все просто впринципе, достаточно из массива, который можно получить из функции...
да.
Имена участников (разделяйте запятой).
