09.11.2023, 12:07
|
|
Постоянный
Регистрация: 16.08.2020
Сообщений: 553
С нами:
3022568
Репутация:
68
|
|
Сообщение от F0RQU1N and
Функции в ntdll в основном это обёртка для syscall`ов, то есть можно просто посмотреть их код
В начале там что-то примерно:
4C 8B D1 mov r10, rcx
B8 ...mov eax, syscallid
То есть будет примерно что-то такое
C++:
Код:
const
auto
ntdll
=
GetModuleHandleW
(
L
"ntdll.dll"
)
;
auto
syscall_num
=
*
reinterpret_cast
(
(
uintptr_t
)
GetProcAddress
(
ntdll
,
"NtMapViewOfSection"
)
+
4
)
;
получается, что если я сделаю драйвер и буду хукать LdrLoadDll из ntdll.dll, то у меня должно получится, то что мне нужно - перехват загрузки длл и я смогу что угодно сделать в этом хуке?
|
|
|