Извеняюсь обшибся ) при смене / на \\ зацепил S в слове WINDOWS и потому неполучилось У видел исправил заработало! >>q_q большое спасибо!
непомогло ((((((( та же борода! Все возвращается как было!
А что если тебе попробовать в r3 загрузить ntdll c диска, HMODULE hntdll_real = LoadLibrary("D:/temp/ntdll.dll"); VOID* hooked =...
Спасибо понял! Теперь еще одна проблемка: #include <windows.h> #include <assert.h> #include <stdio.h> //#pragma comment(lib,"user32")...
Если я правельно понял вопрос, то: Чтоб определить адрес ZwWriteVirtualMemory(она так же не экспортируемая) я делал так - Грузил с диска ntdll...
Спасибо помогло! Если не секркт, на что влияет WINAPI или __stdcall?
Есть код: #include <windows.h> #include <assert.h> #include <stdio.h> typedef DWORD (* SFPEXC)(DWORD, PWCHAR , DWORD); void...
Огромное спасибо всем!!!!!!!!!!!!!! NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath) { LPVOID base;...
адрес по которой загружен модуль. к твоему rva добавь base. спасибо вроде понял Да я вроде тоже так думаю, но ... Привожу весь код: makefile...
Уже вроде продвинулся на шаг вперед, но все рав но еше есть проблемка: есть код загружающий ntdll c диска и находящий адре ф-ии по имени #define...
Ну ошибка моя наверное в том, что беру ntdll с памяти, а нужно с диска? походу понял ша буду пробовать!
Всем спасибо за ответы! Вот вроде бы вседолжно было получится, но нет же! блин! Делаю так: ULONG get_systemservice_index(VOID* f) {...
Вы имели ввиду HMODULE hntdll = GetModuleHandle("ntdll.dll"); *(FARPROC *)&_NtQuerySystemInformation = GetProcAddress(hntdll,...
Спасибо за информацию! Что ZwWriteVirtualMemory есть в SST я поня! Так как же узнать ее номер именно в этой SST! C ZwQuerySystemInformation...
И если в SST ее нет, то ее небудет и на диске в NTOSKRNL.EXE? А как же тогда узнать ее(ZwWriteVirtualMemory) оригинальный адрес, если ее хукнул...
Спасибо за ответ! Это драйвер. Экспорт ядра это и есть SST? Если ее нет в SST, как же ее тогда хукать?
Вот такая борода .... Пишу: //******************************************** ... extern NTSYSAPI NTSTATUS NTAPI...
Искал инфу по форму, нашел следуюший код: #include <ntddk.h> #define DEBUG #ifdef DEBUG #define DBGPRINT DbgPrint #else #define DBGPRINT #endif...
Упс, сорри не дочитал! Я искал по WASM а статья с rootkit.com, уже нашел! Последний пост отменяется!
Asd, на одной из найденных тем я встретил фразу пробовал поиском таких статей не нашел, можно попросить ссылочку? Очень хочется посмотреть...
Имена участников (разделяйте запятой).
