
STNC главная |
![]() ![]() ![]() ![]() ![]() ![]() |
Здравствуйте Гость ( Вход | Регистрация ) | Выслать повторно письмо для активации |
![]() ![]() ![]() |
cl0ne |
Дата 22.09.2007 - 12:36
|
Offline Activist ![]() ![]() Профиль Группа: -users- Сообщений: 67 Пользователь №: 4685 Регистрация: 21.11.2006 Рейтинг: (0%) ![]() ![]() |
Ищу описание или статью по этой теме. Гуглить пытался, вся информация отрывочная, а хотелось бы составить полную картину...
Чаще всего ссылаются на _https://jiurl.nease.net/document/JiurlPlayWin2k/PsPeb.htm, но линк мертв. Может быть, у кого-нибудь сохранилась эта статья? И пользуясь случаем также хотел бы уточнить, можно ли с помощью PEB 1) Скрыть подгруженный к процессу dll-модуль? 2) Изменить имя процесса/путь к исполняемому файлу? 3) Получить базу kernel32.dll? Спасибо. |
J-MiB |
Дата 23.09.2007 - 13:23
|
Offline![]() Junior ![]() Профиль Группа: -users- Сообщений: 36 Пользователь №: 4443 Регистрация: 7.09.2006 Рейтинг: (0%) ![]() ![]() |
https://web.archive.org...Win2k/PsPeb.htm
На счет 2) не уверен (по идее можно), а 1) и 3) реализуются точно. -------------------- Ты - мимолетное воспоминание, которое сразу забудется.
Ты не существуешь. Ты вобще не появлялся на свет. Безымянность - твое имя. Молчание - твой родной язык. Ты больше не чаcть общества. Ты выпадаешь из системы. Ты над ней, вне ее. Узы порваны. Мы для всех "они". Мы - люди в черном. |
cl0ne |
Дата 23.09.2007 - 21:46
|
Offline Activist ![]() ![]() Профиль Группа: -users- Сообщений: 67 Пользователь №: 4685 Регистрация: 21.11.2006 Рейтинг: (0%) ![]() ![]() |
А правда ли, что PEB всегда находится по адресу 0x7FFDF000?
|
![]() |
![]() ![]() ![]() |
|