|
| Посл.отвђт | Сообщенiе |
|
|
Дата: Июл 23, 2004 10:24:33 „а что с результатом ? cmp/jcc напрашивается...“ Да нет - это я специально сделал, чтобы под sice`ом отслеживать работу и что там действительно 1, а не 0. Все равно нельзя писАть в ntdll :(( |
|
|
Дата: Июл 23, 2004 12:52:55 Нашел очепятку при установки флага WP: вместо BTS EAX, EDX надо: BTR EAX, EDX MOV CR0, EAX тогда все нормально пишется и читается! Вопрос следующий, как теперь заставить драйвер видить kernel32.dll (sice показывает что она не загружена в память, хотя по идее должна) и писАть туда ??? br, Serg |
|
|
Дата: Июл 23, 2004 15:56:57 Через ZwQueryInformationProcess,,ProcessBasicInformation,,, получить адрес Peb. Или просто юзать 7FFDF000h в fs:[30] лежит. Потом KeAttachProcess и PEB.Ldr -> PEB_LDR_DATA, а в PEB_LDR_DATA есть голова двусвязного списка модулей процесса InMemoryOrderModuleList. Но это я так, навскидку. Никогда этого не делал и может есть вариант попроще. Поищи по нету, на http://www.rootkit.com/ зайди. Там наверняка что-то есть. |