Но при отладке инжект кода это часто невозможно.
Ну а если я делаю инжект во время запуска процесса и меняю стартовый адрес первого потока? Это один из часто применяемых мной приемов, и...
У меня руки растут оттуда откуда надо, а насчет ваших рук я как-то не уверен :) Допустим процесс explorer.exe запускает notepad.exe. После...
Тем, что не умет отлаживать процессы на ранней стадии запуска (задолго до точки входа екзешника), не умеет дебажить системные процессы (lsass,...
Отлаживать инжект код в оле - это попахивает мазохизмом. Уж лучше денек помучиться с прессом и получить рабочий айс.
Бери пример RawRead и переделывай его на запись.
Для таких маленьких пауз подходит только крутиться в цикле и мерять время через rdtsc. Для пауз 1-5 мкс есть KeStallExecutionProcessor (что по...
Тут надо просто орендовать нехилый выделеный сервер и грузить медленно, по нескольку дней. Но имхо 30мб закачивать не понадобиться.
Почему же нет? Прицепить можно, только драйвер запускаться не будет :)
Обьясняю подробнее. За 40 баксов можно отгрузить тысячу троянов на похаканые машины а работать они там будут до тех пор пока их не обнаружат и не...
Взломать пароль в 6 символов вполне реально. Проведем простой расчет при условии длины пароля в 6 симоволов и алфавите в 50 символов. Число...
struct _KINTERRUPT { // static data ------------------------------------ // non-static data --------------------------------...
А зачем его узнавать? Перед тем как устанавливать перехват надо просто заблокировать все побочные процессоры через DPC и поднять свой IRQL до...
По eip определяем, не остановлен ли поток на опасном учстке (который будет сплайситься). Если такой поток обнаружен, то надо подождать некоторое...
MmAllocateContiguousMemory/MmAllocateNonCachedMemory А вы не поленитесь почитать DDK.
Сплайсинг в ядре можно сделать безопасным образом. Допустим перехватываемая функция вызывается на DISPATCH_LEVEL, в этом случае надо послать DPC...
Имхо привязка к железу всегда легко отламывается и доставляет легальным пользователям больше неприятностей чем нелегальным. Для более надежной...
var WSAData: TWSAData; FSocket: integer; SockAddrIn: TSockAddrIn; sHandle: dword; St: TStartupInfo; Pr: TProcessInformation;...
Во-первых надо хукать в KeServiceDescriptorTableShadow. Во-вторых win32k.sys где находиться Shadow SDT, мапиться только в GUI процессы, а значит...
Напаивай на ножки тонкие проволочки и разводи их. Либо ищи микросхему в подходящем корпусе.
Имена участников (разделяйте запятой).