Резиденты

← →
Velocity (2002-09-16 11:44) [0]

Здрасте всем!
Есть несколько интересных вопросов, кто знает - помогите плиз. Итак:
Недавно прочитал статейку о возможности переключения контекста потока в НТ. Точный адрес стетейки увы не помню, но суть такова:
1. Находим процесс, определяем хэндлы его потоков
2. Внедряем в его пространство дополнительный резидентный код
3. Блокируем один из его потоков, получаем контекс этого потока
4. Сохраняем контекст потока и его стек
5. Создаем новый стек и правим контекст (EIP) чтобы он указывал на наш код
5. После восстанавливаем старый контекст и стек
Это почти дословно, но без подробностей, взято из текста. Работает (теоретически, не проверял) на НТ. Но ведь и в 95-98 есть функции типа GetThreadContext, SetThreadContext, структура CONTEXT и т.д.! Получается, что такой же фокус можно провернуть и на виндах? Собственно вопрос - как внедрить код в процесс? Если можно на примере, знаете, лень замучила, да и нету Рихтера у меня, а сишные сырцы к тому же только отдельными кусками есть.
Заранее спасибо.

← →
Anatoly Podgoretsky © (2002-09-16 11:56) [1]

Ты вроде бы описываешь работу трояна?

← →
Velocity (2002-09-17 09:02) [2]

Пальцем в небо! Интересует сам принцип а трояны - это сакс...

Резиденты Найти похожие ветки