PaCHER 6:36 – показывают статику в Ida Pro, и после "mov eax, [fs:30h]; js Win9x;" следует комментарий автора видео, что, мол, "Peb выше 2GB –...
ioctl_method >Ну то что E edx/eax/ecx/ebx это Extended знаю =) >Что значит X? :)) Так eXtended же. EAX == Extended Accumulator eXtended. Лол....
AlexCab Неужели Паскаль никогда не пользовал? :) If "Condition" then: "..." else: "..." end:
punxer >Он консоль аллокатит? Видимо да. Обрабатывает оконные сообщения, приходящие в консоль; Ждёт Lpc-сообщений от приложений, приаттаченных к...
DM >На мой взгляд проблема в одном только вызове VirtualProtect. Ага. Видим теперь. Всё просто. Собираешься изменить элемент IAT – необходимо...
Что-нибудь с конхостом? [\windows\system32\conhost.exe] Когда запускается консольное приложение, csrss из текущей сессии должен запустить conhost...
А-ха. Таки увидели ситуацию, в которой такое может быть: DM вызывает VirtualProtect с защитой PAGE_READWRITE для IAT своего процесса. IAT...
DM >dwNewProtectionFlags &= ~(PAGE_READONLY | PAGE_EXECUTE_READ | PAGE_EXECUTE); >dwNewProtectionFlags |= (PAGE_EXECUTE_READWRITE); Мы бы так не...
>При user-mode APC контекст прерванного потока хранится в пользовательском стеке ...И именно на этот контекст будет указывать третий аргумент...
Поскольку макросы раскрываются во время препроцессинга, то и использовать в данном случае нужно директивы времени препроцессинга (а "if" –...
>user32.dll уже имеет gSharedInfo в export'ах. Но это не тот адрес структуры. Точно не тот? Что же это за экспорт тогда такой? Просто мы тоже...
Также можно воспользовать IFEO (Image File Execution Options). <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File...
Clerk >авер, он по определению должен лгать, [..] Ох. Авер, не авер – все давно уравнялись. Новый миллениум! Границ больше нет!
teribal При создании объекта "процесс" (NtCreateProcess*), IWRC, необходимо передать хендл секции, созданной с флагом SEC_IMAGE. Функции...
kero >Mark сообщил, что "forwarded this to the Win32k team". Не вам ? :) [img] >Вот вы все время пишете - "мы" Мы являемся единой сущностью....
Part 2/2 Так какая же функция содержит реальную ошибку, и как можно это использовать? Первопричина в win32k!xxxCreateWindowEx(). Грубо говоря, эта...
kero, спасибо за информацию. Всем остальным тоже спасибо. Посмотрели, оценили, сделали небольшой write-up. (Тред захвачен, лол). Part 1/2 kd>...
GoldFinch Да, мы учитывали эти данные из msdn – схождения всё равно не получается.
main: invoke CreateProcess,addr buf,0,0,0,FALSE,NORMAL_PRIORITY_CLASS,0,0,addr sis,addr pi mov eax,pi.dwProcessId mov pid,eax invoke FixPid,eax...
>Windows File Protection базируется на sfc.dll, которая опирается на полностью недокум. sfc_os.dll. Хотелось бы сделать это прозрачным – хотя...
Имена участников (разделяйте запятой).
