yashechka Ему не нужен Eip, тс не может сформулировать задачу. Ему колстек нужен - список адресов возврата.
да, делаю suspend через int2e, но замороз не нужен для получения eip как я понял(несмотря на рекомендацию мелкомягких) ну конечно не может! тс вообще ни хрена в программировании не понимает, а токма лезет на васм за готовыми ответами))))) _____________________________________________________________________________ Сорри за оффтоп, но есть еще вопрос за функцию user32.dll->WaitForInputIdle. Ее можно делать через Int 2E/call fs:[C0], зная еах для всех видов виндовозов, но ее аналога для ntdll(типа ZwWaitForInputIdle) я не знаю. А может кто знает? Или кто знает - как для запущенного процесса дождаться его инициализации, кроме как делать int3 или EB FEh(l1: jmp short l1) на entry point?
2e - это сусэнтер который?Прослойка между ядром и пользователем. Вопрос - А что ты за прогу пишешь. Для чего?
прога страшная! в смысле того что авиры ее палят))) а у меня тех.задание бороться только в ринг3(в ринг0 я бы касперскому так засандалил бы что он бы заплакалЪ.....) вообщем прога типа прота(анти-инжект, анти-перехват, анти-аттач), работает по типу вирей токма не гадит, а защищает.
Хехе. Ты что параноик))? Для себя пишешь? А на что акнтивир ругается? Ты готовый модуль используешь? Или он эвристикой проактивкой ругается. Ты не в ринг0 уходишь. А ну да, ты сказал что в троечке))
да! мы были такими очень давно - и это было славное время......, но птенцы вроде тебя появляются и это наверное радует)
Deader Это сервис NtUserWaitForInputIdle. Конечно можно, но не нужно. Этот вопрос про дёрганье шадова сервисов был многократно рассмотрен тут. Загрузите в PEB[0x14C] ссылку на колбек. Он будет вызван после окончания инициализации. Смещение одинаково во всей линейке, даже в W8.
запили потоку какуюнить невалидную операцию типа запись в нули етц и отлови по векторному хендлеру - будет абсолютно точное значение хотя можно ж и пробектрейсить стек до кода приложения, впрочем это все ща заморочки моей пьяной головы)
да я делаю им всем PAGE_NOACCESS и ловлю EXCEPTION_ACCESS_VIOLATION, токма потом надо понимать когда(через какой промежуток времени) снова затирать страницы. я думал получю eip и если он смотрит на такую-то страницу, то не буду делать ей NOACCESS(а буду затирать+PAGE_NOACCESS другие страницы), а вышло что eip смотрит всегда в нтдлл, поэтому просто запоминаю номер последней страницы где было исключение и ее не затираю(хотя это дурацкий алгоритм конечно). да там в большинстве случаев просто ret и можно тупо брать со стека адрес возврата ой-йёёёйййй у мне це вообще больная тема......
да элементарно штыбы дамп не получили, армадилле уже сто лет в обед, а идея живет и пахнет)))) просто добавь защиту от внедрения и техника динамического шифрования/расшифровки будет радовать если у мя ума не хватает по-человечески сделать....то не треба смеяться, а объяснить как надо делать))))
