Re: самомодифицирующийся код?

From

Arthur Vartanov ()

To

Kirill Neznamov

Date

2002-10-02T21:38:58Z

Area

SU.WINDOWS.NT.PROG

From: "Arthur Vartanov" <arvar@penza.net>

Hello, Kirill!
You wrote to Ilya Rudakov on Fri, 27 Sep 2002 22:33:06 +0400:

 KN> Если хочешь kernel32.dll все еще проще. Я кстати сначала перехватил
 KN> CreateFile из kernel32.dll вместо zwCreateFile из ntdll.dll из-за
 KN> чего и почитал немного
 KN> Руссиновича о KDT:) . А сначала я делал так: алгоритм тот же только
 KN> в конце немного по другому - выясняешь адрес нужной функции,
 KN> впихиваешь туда обычный jmp на свой перехватчик который находится в
 KN> пустотах kernel32.dll. Делаешь че те надо затем востанавливаешь
 KN> состояния регистров после выхода из своего обработчика. Кста переход
 KN> обратно на старый обработчик CreateFile тоже я делал джампом(не
 KN> помню из-за чего но с call'ом возиться не стал). Для того чтобы
 KN> правильно определить image base kernel32.dll тебе надо ручками
 KN> разбирать PE заголовок, а чтобы определить адреса функций - таблицу
 KN> экспорта. Зато на разных системах работать будет(в пределах конечно
 KN> nt5 :) ).

Есть гораздо более прямой путь, причем от самой Microsoft. Detours
называется.

Sincerely, Arthur.  E-mail: arvar@penza.net


--- ifmail v.2.15dev5
 * Origin: Demos online service (2:5020/400)