Re: 5 байт самомодификации

From

Gennady Mayko ()

To

Vladimir Ivanov

Date

2002-10-23T14:50:36Z

Area

SU.WINDOWS.NT.PROG

From: "Gennady Mayko" <gennady.mayko@broadcom.com>

Добрый день!

 VI> From: "Vladimir Ivanov" <vivanov@tmsoft-ltd.kiev.ua>

 VI> Hi!

 >>  VI> таблиц импорта (совместно с перехватом LoadLibrary/GetProcAddress).
 >>  VI> В нём нет проблем с атомарностью, т.к. заменяется всего лишь 4 байта.
 >>  VI> Есть ли у этого метода другие недостатки/побочные эффекты ?
 >> Перехватывая таким образом системную функцию HalDisplayString я, например,
 >> столкнулся с тем, что в некоторых ситуациях она может быть вызванна

 VI> напрямую,

 >> в обход моей замены.

 VI> А получилось идентифицировать эти ситуации?  Т.е. пробовал ли отследить
 VI> откуда она вызывается и т.п?
 VI> Это были ситуации, когда функция вызывается из самой же DLL, которая её
 VI> предоставляет?
--
Было, скорее всего именно так - функция вызывалась из другой функции в этой-же
DLL напрямую. Более точно было сложно определить - эта функция
(HalDisplayString) вызывалась во время BSOD, там было довольно сложно
отлаживаться...

 VI> Или из модуля, который получил её адрес через
 VI> GetProcAddress() _до_ того как ты перехватывал
 VI> LoadLibrary()/GetProcAddress()? Или сложнее?

 VI> С уважением,
 VI> Владимир Иванов

С уважением,
Геннадий Майко.

--- ifmail v.2.15dev5
 * Origin: FidoNet Online - http://www.fido-online.com (2:5020/400)