Ладно давай к конкретике, я експериментировал с процесс холловингом, бере свцхост стартуем сапендед, мапим в него блокнот, их базовые адреса загрузки разные перестраиваем пеб на хедер нотепада и настраиваем регистры, отпусаем процесс на 7 и 8 x64 пашет и не лезет в кернел по тому адресу а в в 10 лезет, в пебе и тебе ни иата не импорта нет, вот как-то так --- Сообщение объединено, 16 дек 2020 --- Уточню там не импорты из кернела берутся, берется одна какая то странная переменная что за переменная так чтото и не понял но я не долго калупался, решил может кто сталкивался
sl0n, > берется одна какая то странная переменная А подробности есть, ида не находит динамик импорт по тегу кернел в 10-ке нэйтив. Но это 64 10. Быть может нэйтив достаёт старый вызов для инит кернел - BaseInit.. что то такое, это вызывал загрузчик на младших версиях при запуске. Код (Text): .text:00000001800D4140 lea r8, LdrpKernel32DllName .text:00000001800D4147 xor edx, edx .text:00000001800D4149 mov ecx, 4001h .text:00000001800D414E call LdrLoadDll .text:00000001800D4153 mov [rsp+438h+var_3E8], eax .text:00000001800D4157 test eax, eax .text:00000001800D4159 js loc_1800D4283 .text:00000001800D415F lea r9, Kernel32ThreadInitThunkFunction .text:00000001800D4166 xor r8d, r8d .text:00000001800D4169 lea rdx, unk_180119330 .text:00000001800D4170 mov rcx, [rsp+438h+var_398] .text:00000001800D4178 call LdrGetProcedureAddress - кроме этого нет ничего выборки, по крайней мере ида не находит. Это нужно смотреть в динамике.
