Сегодня с удивлением обнаружил что на моей Винде(Вин7\32) нет такой секции.(в Вин ХП - там еще жива эта секция.) Для непосвященных: С форума(http://www.virustech.org - автор Indy) Цитата: Во всех процессах, в которые подгружен модуль msctf.dll проецируется секция "\BaseNamedObjects\CiceroSharedMemDefault#SID" с доступом на чтение и запись. То есть можно было легко передать другому процессу данные и\или внедрить туда нужный код.(Смотря что кому надо) Теперь вот сижу думаю по поводу аналогов. Поэтому решил спросить: Может кто то уже придумал что то по этому поводу?
ziral2088, А что, в семёрке поменялось поведение секций с флагом IMAGE_SCN_MEM_SHARED? Или хочется доступа к чужому адресному пространству?
Именно. Нужна возможность записать кое что в чужое адресное пространство. Пока еще в процессе размышление как сделать так что бы нужные байты оказались там, но думаю задача вполне решаема.
ziral2088, Допустим, что-то записать удалось. Возникает два варианта: 1. На том конце этого не ждут: усилия потрачены впустую. 2. На том конце поджидают. Это чужая программа, следовательно был как-то засунут и выполнен мой код. Непонятно, почему ему понадобилась переправа в два этапа.
baldr Пусть будет так что на том конце этого не ждут. Но мне нужно записать\отобразить это(притом в регион с правами на исполнение), а потом уже буду пробовать это исполнить. Вначале думал про "инжект через окно" но как я понял там память не исполняема?(считаем что DEP включен) Дело в том, что процесс в который нужно записать\отобразить память уже запущен. Его перезапускать нельзя, считаем что открытие процесса кроме как на чтение\query, тоже недопустимо(к примеру у нас меньше прав чем у него)(но процесс при этом пользовательский, не системный, то есть привилегии отладчика нам не нужны). Пока идей нет. У кого есть возможно стоить обсудить здесь или если он жадина, то в ЛС. Может и я смогу чем то помочь.
