Fedor666

Собственно, вопрос в теме
Сплайсил с трамплином функцию NtSetValueKey и хочу запретить добавление в разделы автозагрузки новых ключиков.
Так же вопрос к знающим людям - как из кодировки, используемой в Native конвертнуть текст в нормальный? (там по-моему какая-то другая)
Вот еще загадка: перенос из функции-жертвы первых 5 байтов или больше в трамплин приведет к краху, если там команда относительного перехода. И чего делать? Кроме дизассемблера длин, еще и все возможные команды ручками проверять? Как это красиво сделать?
Не бейте больно за то, что отвлекаю от дел Важных

Fedor666

Собственно с первой проблемой разобрался - RegQueryInfoKey. Осталось найти описание дубликата этой функции в ntdll.dll.
Остальные проблемы пока в силе

rpy3uH

все функции в ntdll принимают строки только в UNICODE, так как ядро работает только с юникодовыми строками

если там команда относительного перехода то уже ничего не сделать. как вариант анализировать начальный код функции, если там находятся переходы то поправлять их чтобы переход был верным. а вообще, создание трамплинов это очень сложная весчь, иногда намного проще вообще работать без трамплина. если надо вызвать функцию восстанавливать её первые 5 байт и вызывать.

Fedor666

Тогда, пока выполняется функция, ее первые 5 байт восстановлены и другой поток может проскочить контроль
Ни кто не подскажет как перевести это в нормальный текст для анализа?
Это последняя проблема!
Плиииз.

rpy3uH

как вариант, можно во время перед восстановлением оригиналов останавливать все потоки процесса. после вызова функции запускать

использовать функции для конвертирования, гугль поможет в поиске функций. а лучше всего изначально писать программу на UNICODE, к тому же все последние среды программирования MSVS 2008/2010, Delphi 2009 поддерживают это и по-умолчанию создают проекты на UNICODE