KeStackAttachProcess -> ZwWriteVirtualMemory -> KeUnstackDetachProcess ^ --------------------- ^...
1) Читай статью - там все про портирование обычных драйверов на х64 http://msdn.microsoft.com/msdnmag/issues/06/05/x64/default.aspx 2) Не сможешь...
Драйвер: ExAllocatePool, ZwCreateSection, ZwMapViewOfSection Приложение: OpenFileMapping
im1111 А ты как потом в нужную локаль скан-коды конвертил? Тоже в юзер-моде?
fluderast But Helios in contrast to Rootkit Unhooker doesn`t bring BSoD on 3 of 4 computers. It`s a kind of holy wars :)
sdfnabc RootkitRevealer from www.sysinternals.com. If it doesn`t help search "Helios" - it`s the best from free-wares.
Ну да, тип того. Кстати, по поводу FullPath еще один прикол есть. ProcessExplorer валится при попытке просмотра свойств инжектированной длл в...
Например, при создании нового потока GetModuleHandle вызывается для каждой загруженной длл, у которой не стоит флаг LDRP_DONT_CALL_FOR_THREADS....
Если все правильно реализовано, косяки могут быть только с вызовом DllMain. Например, если в DllMain создается поток, загрузить вручную такую длл...
http://www.wasm.ru/article.php?article=apihook_2 , раздел "Усовершенствованный метод DLL Injection"
Лучший и простой вариант: 1) выделяется память 2) в нее грузится образ DLL с учетом выравнивания из заголовка 3) выполняется релокайшн 4)...
Хе-хе... весело :) Как ни странно, это не баг, а фича :) http://msdn2.microsoft.com/en-us/library/352sth8z.aspx
http://www.win2osx.net/forum/archive/index.php/t-1690.html Там по поводу Mac`ов под VmWare обсуждение. Фишка такая же - игра с флагом paevm и...
z0mailbox А смысла нет. Код генерится практически такой же. sasha_s Предположение: когда падает в баг-чек посмотри содержимое Cr0. Может быть WP...
ULONG_PTR UnprotectMemory() { ULONG_PTR oldCr0; _disable(); oldCr0 = __readcr0(); __writecr0(oldCr0 & (ULONG_PTR)...
sasha_s Точно, в первом посте, проглядел. Подумал, что может быть фича компилятора с тем, что он не сохраняет регистры между последовательными...
wdmguid.h
Под VmWare с WinXP, WinXP SP2, Win2003 аналогичный код работает без вопросов. С PAE, без PAE, с DEP`ом и без него. Дизасм-листинг куска от cli до...
Она не в подкачке: "Arg2: 004dc121, PTE contents" - младший бит 1, значит страница в памяти
0x804DCFA8 - адрес функции, которую хукаешь? Запости краш-дамп от !analyze -v Кстати только что заметил: !pte ZwCreateFile VA...
Имена участников (разделяйте запятой).
