В ntoskrnl.lib нет этой функции Заюзал Dll2Lib просмотрел опять нет! Вопрос: как импортировать ZwCreateProcess? krnlGetProcAddress не предлагать Нужно именно импортировать, а не найти динамически
я уже понял. Жаль. Тогда прийдется мэпить нтдлл, вытягивать оттуда номер сервиса и в сдт искать адрес.
zoool Нах мапить ntdll.dll? Ненужный гемор, имхо. Номер ZwCreateProcess в SSDT - 0x002f. Смотри подробней - http://www.metasploit.com/users/opcode/syscalls.html Просто сделай нечто хука функции как в 3-й статье Ms-Rem'а, и будет тебе счастье...
Clerk Согласен, немного кривой способ, но можно сделать экспорт NtBuildNumber, и в зависимости от результата определять номер функции. Всего 5 вариантов )))
asd Да я и не спорю. Если речь идет об экспорте одной функции для какого-то конкретного случая, в данном случае ZwCreateProcess, то можно экспортировать ее по номеру, хотя это, повторюсь, моветон. В противном случае - если речь идет о промышленных масштабах )), конечно, удобнее парсить SSDT по имени функции.
Реализовал через парсинг ntdll удобно быстро кода совсем мало Никаких больших таблиц и привязки к версиям
