Auch wenn ich mit mir selber rede
- wenigstens versteh ich was brechi gemeint hat mit den import tables aller .dlls zu überprüfen.
Das ist exakt das was uallprotect.ishooked macht.
zwar steh ich bei der source genau hier an:
Delphi-Quellcode:
if (integer(addr) < moduleh) or (integer(addr) > moduleh+integer(INH^.OptionalHeader.SizeOfImage)) then
if GetRealModuleHandle(addr) <> GetModuleHandle('ntdll.dll') then
result := false;
speziell hier bin ich ausgestiegen:
GetRealModuleHandle(addr)
wieso und wie das dann mit
GetModuleHandle('ntdll.dll')
verglichen wird ist mir ein rätsel - oder was überhaupt das ergebnis von getrealmodulehandle ist.
Jedenfalls seh ich bei dem ganzen ein problem - hab ich früher schon mal erwähnt, wenn jemand findmodulefirst, findmodulenext gehookt hat steht der check an
.
Egal ich wills ja eh nur verstehen - wenn jemand mir erklären will was getrealmodulehandle macht, dann würd ich mich freuen.
cu
Arnulf