NtUserGetForegroundWindow - Assembler - Ассемблер (FASM, MASM, WASM, NASM, GoASM, Gas, RosAsm, HLA) и не рекомендуем TASM

virt117 · 28.10.2011, 17:08

NtUserGetForegroundWindow - обьясните пожалуйста что это.

haruhi · 28.10.2011, 19:39

это функция ядра системы для получения текущего активного окна. экспортируется модулем win32k.sys

virt117 · 28.10.2011, 23:58

Любая программа может ее использовать(управлять) или только получить от нее данные?

haruhi · 29.10.2011, 12:09

с ней может работать только ядро системы и драйвера. а зачем вообще пригодилась эта функция? для обычных программ есть функция GetForegroundWindow

virt117 · 29.10.2011, 12:52

В игре стоит защита которая не позволяет производить поиск цвета пикселей и именно в окне самой игры, но когда я отключаю эту функцию то все норм начинает искать, однако через минуту клиент вылетает.

rpy3uH · 29.10.2011, 13:18

а причём тут NtUserGetForegroundWindow?

yuran666666 · 29.10.2011, 14:47

Вероятно через user32.dll!GetForegroundWindow в программе поиска пикселей идет получение хендла окна игры, а данная функция перехвачена в Shadow кернеле и возвращает невалид. Если это так, то это прям неломаемая защита, не иначе

PS: про отключение функции вообще весело сказано

virt117 · 29.10.2011, 19:47

Цитата:

Сообщение от yuran666666

Если это так, то это прям неломаемая защита, не иначе

Для меня это пока действительно так ((

Цитата:

про отключение функции вообще весело сказано

Взял программу Rootkit Unhooker нашел там GetForegroundWindow и нажал unhook я хз че она там сделала сней.

haruhi · 29.10.2011, 20:26

перехваты функций реализованные через сплайсинг в теории неснимаемые, так как никто не гарантирует что до этого функция не была перехвачена, как результат: снятие любого перекрёстного сплайсинга чревато последствиями

yuran666666 · 29.10.2011, 21:13

Посплайсить сам обработчик перехвата (быть может имеется проверка на наличие своего хука у защиты) этой функции возвратившись из него в код оригинальной функции, предварительно проанализировав код перехватчика на тему что он вообще делает хоть примерно. Также смотрите в руткитанхукере адрес на который указывает прыжок с оригинального кода, снимайте дамп данной страницы и кидайте его сюда, может быть что то и прояснится, т.к. с данным набором входных данных остается только гадать что там и почему.

28.10.2011, 17:08	#1
virt117 Регистрация: 22.10.2011 Сообщений: 8	NtUserGetForegroundWindow NtUserGetForegroundWindow - обьясните пожалуйста что это.

28.10.2011, 19:39	#2
haruhi Форумчанин Регистрация: 05.10.2011 Сообщений: 368	это функция ядра системы для получения текущего активного окна. экспортируется модулем win32k.sys Не стоит будить спящего Бога! (с) Меланхолия Харухи Судзумии

29.10.2011, 12:09	#4
haruhi Форумчанин Регистрация: 05.10.2011 Сообщений: 368	с ней может работать только ядро системы и драйвера. а зачем вообще пригодилась эта функция? для обычных программ есть функция GetForegroundWindow Не стоит будить спящего Бога! (с) Меланхолия Харухи Судзумии Последний раз редактировалось haruhi; 29.10.2011 в 12:12.

29.10.2011, 13:18	#6
rpy3uH добрый няша Старожил Регистрация: 29.10.2006 Сообщений: 4,804	а причём тут NtUserGetForegroundWindow? [Программирование на ассемблере на платформе x86-64]

29.10.2011, 14:47	#7
yuran666666 Форумчанин Регистрация: 23.04.2009 Сообщений: 346	Вероятно через user32.dll!GetForegroundWindow в программе поиска пикселей идет получение хендла окна игры, а данная функция перехвачена в Shadow кернеле и возвращает невалид. Если это так, то это прям неломаемая защита, не иначе PS: про отключение функции вообще весело сказано Нет, ну правда..

28.10.2011, 23:58	#3
virt117 Регистрация: 22.10.2011 Сообщений: 8	Любая программа может ее использовать(управлять) или только получить от нее данные?

29.10.2011, 12:52	#5
virt117 Регистрация: 22.10.2011 Сообщений: 8	В игре стоит защита которая не позволяет производить поиск цвета пикселей и именно в окне самой игры, но когда я отключаю эту функцию то все норм начинает искать, однако через минуту клиент вылетает.

29.10.2011, 20:26	#9
haruhi Форумчанин Регистрация: 05.10.2011 Сообщений: 368	перехваты функций реализованные через сплайсинг в теории неснимаемые, так как никто не гарантирует что до этого функция не была перехвачена, как результат: снятие любого перекрёстного сплайсинга чревато последствиями Не стоит будить спящего Бога! (с) Меланхолия Харухи Судзумии

29.10.2011, 21:13	#10
yuran666666 Форумчанин Регистрация: 23.04.2009 Сообщений: 346	Посплайсить сам обработчик перехвата (быть может имеется проверка на наличие своего хука у защиты) этой функции возвратившись из него в код оригинальной функции, предварительно проанализировав код перехватчика на тему что он вообще делает хоть примерно. Также смотрите в руткитанхукере адрес на который указывает прыжок с оригинального кода, снимайте дамп данной страницы и кидайте его сюда, может быть что то и прояснится, т.к. с данным набором входных данных остается только гадать что там и почему. Нет, ну правда..