Мне не понятен алгоритм поиска удаленных файлов. Перебираю все записи в MFT, нахожу удаленные и т.д. Но! Слил тулу...
Я нахожусь в контексте какого-либо процесса в кернеле (допустим перехватил АПИшку). Как определить является ли сей процесс дебаггером или нет...
Перехватываю некоторые ф-ции вставкой джампа (естественно дизассемблирую и т.д.). Адреса ф-ций беру из SDT, а ее в свою очередь читаю и высчитываю...
Вот тут https://wasm.ru/forum/viewtopic.php?pid=325184#p325184 описан алгоритм выдирания индексов функций в SDT. Вопросс для тех кто этим...
Просто информация. Ранее я поднимал тему (https://wasm.ru/forum/viewtopic.php?id=33300) мониторинга реестра в кернеле, в частности как мониторить...
Мониторю ф-ции доступа к реестру: NtCreateKey NtOpenKey NtDeleteKey NtDeleteValueKey и прочие NtEnumerate(Value)Key и т.д. В МСДНе...
Перехватил NtCreateProcessEx. Надо забанить запуск заданного процесса. Но в NtCreateProcessEx приходит NULL в (POBJECT_ATTRIBUTES...
Хочу перехватить в ядре парочку ф-ций методом вставки кода (не через SDT), которые лежат в ntdll.dll, например NtCreateProcess... Но как узнать...
"Найти таблицу системных вызовов в памяти очень просто. "Скармливаем" NTOSKRNL.EXE функции LoadLibrary и, используя возвращенный ей дескриптор,...
Сабклашу тут радио баттоны и пробелмка есть... Когда они не отсабклашены, то при выделении одного, остальным посылается...
Скажите а Path Guard только под 64-битной Вистой есть? В 32-битной его нет ваще в принципе?
Ну вот стоит такое экзотическое условие, без WMI и все тут. Знаю только как у HDD получить инфу без WMI. А еще требуеться получить минимум...
Народ! Я чета туплю... Не могу отобразить диалог, который находится в ДЛЛ (его темплейт). Как не бьюсь -- хрен. вот так пробовал: приходят в...
Есть драйвер фильтр файловых операций. Он просто перенаправляет обращения к одной шаре на другую шару с другого компа. Но... Юзер всегда...
Есть такой пакет стилей аля Vista под XP. В прикрепленном файле две картинки, нижняя с подстветкой. Кто знает как сие сделать програмно? Т.е....
Кто работал? В обработчике PreDirControl вызываю FltQueueDeferredIoWorkItem и возвращаю FLT_PREOP_PENDING. А в моей назначенной ф-ции обработчике...
Есть драйверок, который следит за обращениями к одной из папок, которая зашарена. При обращении к ней он выдает содержимое, которое генерирует...
Есть PACCESS_TOKEN. Надо создать его копию для последующего юзания. Что-то вроде ZwDuplicateToken, но сия ф-ция принимает хендл. Могет можно...
Есть драйвер-фильтр, который мапит одну шару на несколько, это уже сделано. Сделано следующим образом: когда кто-то обращается к шаре -- ему...
Задача собственно такая: Замапить шару на одном компе сразу на несколько шар на другом (именно на несколько). Маппинг одной шары на другую не...
Имена участников (разделяйте запятой).
