Это как вообще реально или нет?А то я тут методом тыка только одни странности ловлю. 1.Код захвата выполняется из дллки в том же самом адресном пространстве. 2.Передаю в ZwUnmapViewOfSection базу загрузки образа.Получаю STATUS_SUCCESS. 3.Делаю VirtualQuery по этой базе.Вижу что MEMORY_BASIC_INFORMATION.Protect==1. 4.Пробую VirtualProtect.Ругается что адресс кривой 5.Ради очистки совести пробую VirtualUnlock.Ругается что там не локнуто VirtualAlloc просто по тому адресу тупо ноль возвращяет ,и при этом GetLastError ничего невозвращяет Писать читать по тем адресам тоже не получается(прога тупо валится). Вот и спрашиваю такое вообще возможно или я бьюсь с ветряками?
Я не особо понял что ты хочешь... но почитай это вдруг чем-то поможет FrostFix - Создание сканера виртуальной памяти процессов FrostFix - Сканер виртуальной памяти «внутри» процесса
2 Gar|k он хочет убить в памяти образ процесса и залезть на его место) Как вариант в исходниках Win2000 и в WRK погляди как это делает система.
Там любой кроме индуса ногу сломит.По каким конкретным признакам мне определить что в исходнике находится код системного ПЕ загрузчика?
НУ почему же, исходники винды довольно понятны. Начинай искать функции создания/завершения процесса и далее шагай