Salit salit salut les zigotos

En voulant faire un petit hooker d'API (dont je parlerai dans un autre post prochainement) je suis tombé sur l'API ZwMapViewOfSection exportée par ntdll (c'est l'appel a cette API qui déclenche l'envoit d'un message DLL_LOAD au debugger quand une dll est loadée)

Apres un petit peu de googlisation on voit dans la msdn que :

The ZwMapViewOfSection routine maps a view of a section into the virtual address space of a subject process.

et que cette fonction prend en parametre le handle d'un processus.

Cette API permet donc de mapper une section dans un processus, l'idée est alors d'injecter du code grâce à cette API (et donc sans utiliser le classique VirtualAllocEx et WriteProcessMemory)