LG

[supernewbie]

Цитата:

Сообщение от mira

Они запарятса делать проверку адреса возврата на несколько уровней вниз

да? может там опять есть че-то типо ZwGetCurrentThreadAllRetAddress или ваще ZwGetSomeL2Cheater из какого-нибудь кернела тридцать два!
откуда мне знать)

[mira]

Нада попробывать вызвать из родного потока в любом случае для теста а далее будет видно че проверяют примерно.

[supernewbie]

надо бы..

[mira]

проверил) шутдаун клиента.
ну строка формата у меня палевая это да

[destructor]

mira, как там стандартный инжект блочат?

[mira]

никак. все норм с этим

Добавлено через 59 секунд
при отправке пакета сначало долгий затуп (видимо собирают и отправляют компрамат =)))))
потом выкидывает. но длительное время еще можно стоять и смареть как все бегают

Добавлено через 10 минут
скажите мне луше как проще получить доступ к таблице строк формата раз у вас все сделано. думать день и искать, я поиграюсь с кой какими данными которые могут проверятса.

[supernewbie]

лично я нашёл примерную область памяти где все эти строки и вписал наугад куда-то 'b' и пох)

[destructor]

вписывать не труЪ
надо найти строчку "сddb" и юзать ее адрес+3

[supernewbie]

не поверишь, в иде даже именно строку 'b' где-то видел

[mira]

Так. Возник вопрос!
Как тебе удалось получить кривую шифрацию из нового потока? У меня при любом раскладе клиент вдупляет и офаетса. Ну если вызвать я явно палевым адресом возврата то офаетса немедля.
И в чем выражалась у тебя неправильная шифриция