Great Я еще во втором сообщении это написал, хотя и не очень подробно, так что это меня никто не читает :). Другое дело, что я не смотрел как дела...
А к чему такие сложности -- руками проходиться по релокациям и т.д? Гораздно проще выделить в адресном пространстве целевого процесса кусочек...
Flint_ta Способ, который я описал, не требует базонезависимости, можно загружать динамическую библиотеку, главное, чтобы в ней были релокации.
'invoke WriteProcessMemory,[p_info.hProcess],[mem],buff,1536,0' завершается корректно? P.S. Для внедрения библиотеки в адресное пространство...
Думаю, есть смысл поставть аппаратную точку останова на этот адрес, после .pagein остановится и страница будет загружена. 0xCC в этом случае...
x64 Да, это я как раз знал. Насколько я понял, отсылкой IRP_MJ_READ клавиатурам занимается специально выделенный для этой цели поток, ну а про...
По IP, например, если он не менялся. Rapidshare, например, использует IP + cookies, кажется. Если сменить первое и почистить второе, то можно...
izl3sa Ага, это в планах. Просто сейчас другую книгу читаю и хочу закончить, не слишком отвлекаясь на остальные книги. А Они -- это большая тема....
Клавиатуры. Насколько я понимаю, да. Можно чуть более детально, почему так нельзя делать в общем случае? Что может случиться? Беглым поиском...
Фильтр. Схематично выглядит так: CompletionRoutine: ... if (BufferFull) { IoQueueWorkItem(Critical); KeWaitForSingleObject(Event, ...); }...
Ну, суть происходящего довольно проста: буфер заполняется в completion routine. Содержимое буфера надо сохранить в файл. Для этого создается...
Ага, спасибо, документ полезный. Но это не совсем ответ на вопрос. Поясню: мне не понятно, почему ОС запрещает ждать вечно на объекте...
Здесь речь немного шла об этом.
Да, потом потоки перебираются ф-иями Thread32First/Thread32Next.
Вот так, например.
Мое почтение всем. Встретил в одном исходнике такой вызов: status = KeWaitForSingleObject(&Mutex, Executive,...
Я делал так: написал программу, которая создает процесс флагом SUSPENDED и спрашивает, когда запустить процесс. Запускал программу, затем вычислял...
x64 Спасибо за объяснение, но хочу уточнить такую деталь: удаляет ли IoDetachDevice мою completion routine из IO_STACK_LOCATION (я так понял,...
Описывали много раз. И я описал выше. 657DC -- RVA инструкции. Надо вычесть из него RVA начала секции (описывается в...
Видимо, вопрос о том, как по RVA найти смещение в файле. Надо из целевого VA вычесть базу исполняемого. Таким образом получится RVA. Затем из...
Имена участников (разделяйте запятой).
