Спасибо всем ответившим,единственно более или менее нормальный(?) способ - нахождение в экспортах ntdll адреса ZwProtectVirtualMemory и выдирание...
Интересно,есть ли какой-нибудь легальный способ выставить copy - on - write юзермодной странице из драйвера не правя PTE руками ?
в ассемблере нет,есть API HeapAlloc выделяет память из кучи,VirtualAlloc резервирует память из адресного пространства процесса
Спасибо,буду ковырять, по всей видимости на асме этой радости нет. Ну что же значит будует :)
Собственно ищу сабж.Может кто пользовался знает,естессно желательно на асме и с сорцами :)
в дополнение к кнопке "сделать красиво" рубильник "оптимизировать по самое нехочу"
Хроники лаборатории [img] _438581699__Хроники лаборатории.txt
насколько я знаю,Outpost устанавливает LoadImage и CreateProcess Notify routine при вызове этих процедур заполняется внутренняя структура на...
смотри в сторону Debug Api
И померли они с кривыми руками.Аминь ;)))
CyberManiac Ну а если бегать и отрезать язык каждому кто косо на тебя посмотрит то жизни не хватит... а руки кривыми так и останутся. ИМХО
:)))))))) каюсь, прочитал и сослуживцам дал почитать, работа в отделе остановилась на 1,5 часа пока некоторых не пришлось откачивать )))
Тогда еще лучше перехватывать PspCreateProcess, а поиск функции осуществлять по сигнатуре Ж)
Ничего так вещьица ;) Спросить хочу, есть ли возможность производить какие то арифметические действия с внешней переменной.Например мне нужно...
дааа... Психея рулеzzzzzzz ;) от А до Я , мифы о розовых деликатессах,спасусь таблетками...
это из изречений моих друзей :-): это пахнет чревато... комар летает, живой наверное... класно в маске плавать когда дно прозрачное......
в аттаче клиент и сервер написаные по мотивам одной из статей kaspersky... [img] 1371979837__shell.ZIP
А если я положим не из России(но из СНГ), как это все будет выглядить? Ну и естественно я за..
Имена участников (разделяйте запятой).
