Здравствуйте, -prus-, Вы писали:
P>А ссылки нету случайно?
Хук функции User32.dll в ЮМ из ядра
http://www.wasm.ru/forum/viewtopic.php?id=48879
Здравствуйте, -prus-, Вы писали:
P>Тут. Может кому пригодится.
Спасибо.
Идея, правда, не новая. На мой взгляд, обычный поиск Zw-функций по сигнатурам надежнее
(обсуждалось на WASM около года назад, практически "по косточкам").
А вместо использования имен образов ядра (ntoskrnl.exe, ntkrnlpa.exe и т.п.) проще
взять адрес любой известной функции ядра типа ZwCreateFile и проверить, лежит ли она в
диапазоне между image base и (image base + image size) модуля. Если лежит — это kernel.