Re: 5 байт самомодификации

From

Vladimir Ivanov ()

To

Gennady Mayko

Date

2002-10-23T00:50:29Z

Area

SU.WINDOWS.NT.PROG

From: "Vladimir Ivanov" <vivanov@tmsoft-ltd.kiev.ua>

Hi!
>  VI> Меня ещё интересует упоминавшийся здесь метод перехвата путём
перекройки
>  VI> таблиц импорта (совместно с перехватом LoadLibrary/GetProcAddress).
>  VI> В нём нет проблем с атомарностью, т.к. заменяется всего лишь 4 байта.
>  VI> Есть ли у этого метода другие недостатки/побочные эффекты ?
> Перехватывая таким образом системную функцию HalDisplayString я, например,
> столкнулся с тем, что в некоторых ситуациях она может быть вызванна
напрямую,
> в обход моей замены.
А получилось идентифицировать эти ситуации?  Т.е. пробовал ли отследить
откуда она вызывается и т.п?
Это были ситуации, когда функция вызывается из самой же DLL, которая её
предоставляет? Или из модуля, который получил её адрес через
GetProcAddress() _до_ того как ты перехватывал
LoadLibrary()/GetProcAddress()? Или сложнее?

С уважением,
Владимир Иванов



--- ifmail v.2.15dev5
 * Origin: A poorly-installed InterNetNews site (2:5020/400)