получение информации о процессе

x64

С каких это пор хуки стали хаками? Абсолютно стандартный, легальный и надёжный приём, работает на всём зоопарке от 98 (про 95 не знаю, ибо совсем уже труп) до 7х64, в отличие от.

 

CyberManiac

Код (Text):

1.     invoke PsGetCurrentProcess
2.     invoke PsGetProcessPeb, Eax
3.     mov eax,PEB.Ldr[eax]
4.     mov eax,PEB_LDR_DATA.InLoadOrderModuleList.Flink[eax]
5.     lea eax,LDR_DATA_TABLE_ENTRY.FullDllName[eax]
6.     assume eax:PUNICODE_STRING

И вы думаете что инжект модуля не хак ?

 

Хорошо, если это так, то приведи мне ссылку на статьи от Intel или Microsoft, где подробно описывается механизм хуков (Splices, IAT/EAT, ...) применительно к системам семейства Windows. Ссылки на Detours не предлагать, это закрытое решение. Это будет подтверждением, как минимум, легальности. Я же считал и считаю хуки крайне нежелательным для приминения методом, и особенно, если существуют другие решения задачи.

 

Скорее всего под хуками CyberManiac имеет ввиду http://msdn.microsoft.com/en-us/library/ms644990%28VS.85%29.aspx

 

Это внедрение, я же спрашиваю про хуки (перехват кода).

 

x64
LdrHotPatchRoutine/ExApplyCodePatch.
А если не описана, это не значит что не юзается, NT закрытая ось.
http://msdn.microsoft.com/en-us/library/ms173524(v=VS.80).aspx и далее.

 

Недокументировано. Ещё есть доказательства легальности ваших хуков?

 

x64
легально != документировано(ось не опенсурсная, кому не нравится юзают линус). Вон странички подкачиваются вполне легально, но это не значит что нельзя самому 14-е прерывание вызвать, хотя и не документировано.

 

x64

Разумеется, их, родимых. Ибо это самые истинные и праведные хуки, которые были явлены человечеству в те далёкие годы, когда 32-битная Винда только-только зашевелилась в штанах у Билли.