хм покаж полный код установки сплайсинга
Y_Mur в смысле чтобы данные были вместе с кодом, или чтобы оно само выносило строчки в секцию данных?
А че подробнее то. Берешь и перехватываешь. Лучше менять SSDT, но можно и сплайсингом. Примеры кода - в нете полно
Глянул. И ZwCreateFile и ZwOpenFile вызывают IoCreateFile. Вот пусть топикстартер и шурует хукать именно её )
slow хз, не смотрел) вполне возможно. тогда вообще только ZwCreateFile хучить и все ЗЫ. Ща гляну ядро =)
ужс, прочитал весь топик, лежу под стулом...
Chikanok Универсальный метод - перехват ZwTerminateProcess. Винда делает так же практически, только она сразу в бсод падает, а ты возвращай...
Диспетчер задач не позволяет завершать некоторые процессы просто сравнением имен с "winlogon", "csrss", "lsass", etc Другое дело, как винда...
хмм, ZwCreateFile вызывается же два раза по идее при копировании - при открытии файла источника и файла назначения. Вот и пали имена из...
лучше сделать ченить вроде такого, если очень хочется мешать код и данные. push 0 push 0 jmp __continue msg db 'Hello, World', 0 __continue: push...
сплайсинг, вообще, штука очень опасная. если у тебя выполнение кода прервется в момент входа в пролог перехватываемой функций, произойдет...
... del ... ну да, 012 и 3 ) ступил
asmfan все же определять так строки не прикольно, точнее заталкивать адрес строки через call. как-то... не красиво чтоли. да и отлаживать потом...
за
Weert пожалуйста, это уже написали выше) правда это виртуальный адрес точки входа. если тебя интересует, какое смещение в файле на диске имеет...
4apa ой давай тогда вообще всех под сомнение поставим. Наверное, Ньютон тоже му.ак, и Эйнштейн тоже
в HIEW в просмотре заголовков найди поле AddressOfEntryPoint
число = мантисса * ( 10 ^ экспонента ) (^ - возведение в степень)
CALL XXXX запихивает в стек адрес следующей команды и передает управление на XXXX. RET вынимает из стека адрес и передает по нему управление....
А ты в курсе, что call & ret используют стек? Тебе объяснять что-то, судя по всему, бесполезно. Читай учебник. Тебе одно, ты - другое
Имена участников (разделяйте запятой).
