да действительно неверно, ты пытаешься запихнуть туда весь буфер lpBufer1, а надо только то что вернула GetModuleFileName
HKEY_LOCAL_MACHINE\Software\\Windows NT\CurrentVersion\Windows вот в этой строке ошибка и возврат из процедуры должен быть, тоже ошибка
вот случайно нашел по твоему mirror драйверу http://www.inf.tsu.ru/library/Publications/2005/43.pdf может какие-нибудь теоретические моменты...
там где процедура винмайн, следующую за ней строку подыми
можно, поставить отладчик, понатыкивать бряков в нужных местах и смотреть где что не так
нужен конкретный вопрос, сложно определить проблему из слов "драйвер перестал работать"
EvilsInterrupt если честно, я понял только вот этот ваш вопрос :) прочитал здесь на васме в одной из статей
пробелы с типами данных и объвлении переменных вот хорошая литература http://www.opu.odessa.ua/lib/up/c/h12.htm#121
вычитал что структура LDR_MODULE недокументирована, и это ее ошибочное название, правильное LDR_DATA_TABLE_ENTRY. По самому вопросу скажу...
тогда может здесь почитать http://wasm.ru/print.php?article=ollydbg22
дык подключаете неправильно надо что-то типа так: include \masm32\inc\kernel32.inc includelib \masm32\lib\kernel32.lib
не, ненужно хранить конец структуры :), InLoadOrderModuleList, InMemoryOrderModuleList, InInitializationOrderModuleList и есть структуры...
немного поискал и нашел вот что: _PEB_LDR_DATA содержит 3 вышеозначенных идентификатора InLoadOrderModuleList, InMemoryOrderModuleList,...
пол часа назад выковыривал эту шнягу с одной из офисных тачек. В сустем32 файло с именем mveo.exe, стартует из авторана
я только несовсем понял зачем нужно проверять запущен ли ХХХ по приходу этих IRP?? приатачиться к процессу можно меняя адресное пространство на...
пардон, я еще совсем бегиннерс, не осознал сути вопроса, нашел что определить можно по полю IRP Tail.Overlay.Thread, в MSDN написано Is a pointer...
наверно надо регистрировать процедуры обработки этих IRP. Если все таки передавать определенному приложению то наверно лучше использовать IOCTL...
EngAllocMem вызывается 2 раза, а EngFreeMem 1, вот тут может и косяк, а вообще лучше протрассировать и посмотреть где падает, или с каким кодом...
смотрю тут ntoskrnl.lib по всем папкам раскидал, чтоб уже наверку скомпилилось :)) смена off на on никак не влияет на процесс сборки, это дает...
mirrorcoder уверен что там setenv.bat правильно отрабатывает?? исправь в нем echo off на echo on и посмотри распечатку. Энвиронменты приходят к...
Имена участников (разделяйте запятой).
