Добрый день всем.

Столкнулся с такой проблемой. Моя программа аттачит некую длл к другому процессу. DLL в свою очередь сплайсит ряд функций и тд и тп, в общем-то не важно. Программа успешно работает в ХП, висте, 7ке - вне зависимости от разрядности. И тут один из пользователей программы попробовал её на сабжевом монстре. Программа ошибок при аттаче DLL не пишет, но DLL не аттачится к нужному процессу.

Аттач происходит классическим способом:
VirtualAllocEx->WriteProcessMemory->CreateRemoteThread
Антивирусы и другое стороннее защитное ПО не установлены. Программу запускаю от администратора, то есть с правами тоже проблем быть не должно.

Вопрос такой:
Какие особенности windows 8 могут мешать инжектить DLL выше-описанным классическим способом? Может там какие-то новые настройки безопасности?
Заранее, спасибо за ответ.

ЗЫ Дебажной инфы приложить не могу, потому что сам пробовал только через team viewer на этой ос.

| Сообщение посчитали полезным:

установите на виртуалку данную ось и вперёд
а инжект не в системный процесс случаем?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
а инжект не в системный процесс случаем?
нет. Мало того, моя программа запускает ту программу, в которую инжектит библиотеку.

Да вот хотелось бы не довести всё до виртуалки..

| Сообщение посчитали полезным:

noph
как вариант - OutputDebugString c принтом
а) рет кода winapi функций
б) getlasterror

сделать трейс на работающей ОС и на серверном олене, сравнить.

P.S. Win2008 R2 - ето ведь ядро Windows NT 6.1. ? (тоесть еще не Win8)

| Сообщение посчитали полезным:

Попробуй DEP отклчи, очень много проблем обычно из-за него.
Можно еще попробовать запускать приложения в режимах совместимости.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus пишет:
Попробуй DEP отклчи, очень много проблем обычно из-за него.

угу, будет юзер отключать деп из-за левой софтины.

| Сообщение посчитали полезным:

noph пишет:
Мало того, моя программа запускает ту программу, в которую инжектит библиотеку
тогда проще на EP код вписать, и с контекстом поиграцца, если не .net приложение. еще мысль, что код на треад кривоватый
noph пишет:
классическим способом


-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

Кстати, о DEP. Сплайс хукам он не помешает?
Просто мне написали, что вроде решили проблему с подгрузкой путём добавления правила в AppLocker для моей dll. Но длл сама по себе не выполняет нужные функции, основная из которых хуки.

| Сообщение посчитали полезным:

DEP просто запрещает выполнять код из страниц памяти, которые не имеют исполняемого атрибута. По дефолту, например, такого не имеет хедер, стек, куча. Если софт правильно написан, и ничего такого нет, на деп я бы не грешил.

| Сообщение посчитали полезным: