Меня интересуют тенденции развития Win32 шеллкодинга. Например: как лучше искать Kernel32 через PEB,SEH,TOPSTACK меня интересует только NT/2K/XP Просто материал который я видел в сети по шеллкодингу достаточно старый. У меня самый продвинутый от Delikon: 1932591399__shellcode_delikon.asm
1) SEH Кто-то говорил, что в последующих версиях NT кернел в стеке уже не найдешь. Обработчик будет находиться не в нем(кернеле), а в ntdll.dll Так что новое поколение вирусов для твоих целей SEH использовать не сможет Наверняка не знаю. Ms Rem в этом профи 2)Стэк. Даже в ХР встречаются такие моменты, когда процесс был вызван не из кернела, а значит адресс возврата также не будет находиться в кернеле.
