si es uno de uso general casi seguro altera la api QueryPerformanceCounter, dandole valores falsos, dale un ojo y sabras por donde tirar.

logicamente que la api de windows lo hace, pero no es el caso y terminas en el kernel pasandole el servicio X y el kernel es API del mismo sistema, por lo tanto lo que quiero decir es que terminara usandola de algun modo. ese ejemplo es "valido" pq lo hace el propio sistema asi y no es dependiente de ninguna otra funcion, falta la escritura al fichero y el MessageBox sin tocar una sola dll del sistema.

es lo mismo que isdebuggerpresent que existe la funcion, pero simplemente retorna un campo del peb y listo, cosa que puedes hacer perfectamente desde tu propia aplicacion sin llamar a dll alguna. vale entonces cedo pero un poquito, se puede hacer con alguna funcion en concreto, pero no puedes hacer una aplicacion sin pasar por la api del sistema.

dije "por ahi estara", queriendo decir que puede estar el codigo dentro de la funcion (no es la primera vez que lo he visto) o un puntero a los bytes reales, como dije depende del soft hay que estudiarlo y es practicamente sencillo obtener la direccion para no tener que pasar por el hook. pero vamos eso es otro tema.



Logicamente y pasar por un sitio no es entrar por la puerta, puedes pasar por delante de mi casa sin entrar o puedes entrar por la ventana, de todos modos has pasado por ahi. o lo que es lo mismo, puedo comer huevo frito, en tortilla, con patatas o como a cada uno mas le guste, pero termina comiendo huevo.


Vale entonces un pequeño programa NO LINKADO a una sola dll, tampoco vale obtener con getprocaddress. que cree un fichero, escriba algo muestre un MessageBox y salga. cuando vea eso sin usar una sola dll entonces admitire que si puede usarla de forma opcional o con mas trabajo pasar olimpicamente del sistema.

logico, creo que no me entendiste logicamente sabiendo que funcion tenemos es sencillo buscar si dentro de la redireccion se encuentra el codigo original. pero el quiere sin usar ninguna ninguna funcion de windows.


Cito tal cual escribio en su primer mensaje:


tal como lo pide, aun ejecutando tu los bytes que quito el jmp o los saques del fichero en disco, vas a morir a una dll del sistema. el no aclaro si modo usuario o modo kernel, y API son las 2 asi que de una forma o de otra va a tener que terminar trabajando con la api del sistema.

claro esta que podemos complicarlo mas, incluso puede programar su propio SO para poder ejecutar codigo como quiera. se puede complicar lo que uno quiera, pero a la pregunta tal cual es que SI termina pasando por la api del sistema.

yo en los casos que he visto, es mas el porcentaje que guarda los bytes reales para hacer la llamada o no.


es lo mismo, evadir una restriccion sea de el modo que sea es saltarsela , engañar, burlar llamemosle como sea.


si ¿y la ntdll no va a morir a la api del sistema?, igual estoy confundido pero me gustaria ver un MessageBox por ejemplo sin tocar en ningun caso una una dll del sistema, o borrar archivos sin hacer uso alguno de ninguna funcion modo usuario/kernel y que sea estable y funcional en todos los sistemas windows  logicamente.

PD: con api me refiero tanto en modo usuario como en modo kernel, hacer una aplicacion sin tocar en ningun caso ni una sola funcion.

¿quien dice que sea mejor?, el a dicho que prefiere usar tablas, yo en particular me siento mas comodo con div.

si es un hook simple (jmp) vas a la direccion donde apunta y tendras por ahi cerca las instrucciones reales, pero para un software en especifico hay que estudiar el caso primero.

Los hooks en modo kernel suelen tener bastantes fallos, en la zona de malware puse un ejemplo que se salta openprocess desde modo usuario. logicamente que esto no se da en el 100% pero haciendo pruebas es sorprendente la cantidad de software afectado.

PD: si te conteste, te dije que tienes que pasar por la api.

tienes que pasar por la api.


yo creo que es al contrario, si te dan mas acceso  los virus tienen el mismo privilegio que tu, da un ojo a los virus antiguos y comparalos con los de hoy en dia y veras que diferencia en cuanto a "poder".

el compiz lo mata, como consejo lo quitaria y el que quiera que lo instale.

riki, estas posicionando el elemento centrado, se muestra tal como tu se lo pides.

http://www.w3schools.com/css/