NtOpenFile и NtCreateFile обе просто вызывают IoCreateFile с разными параметрами, особенностей в перехвате быть не может никаких. Запости целиком...
Верно, указатель. Так вот если этот адрес будет, например, 0xcfff0003, то при проверке аргументов функция вернет STATUS_DATATYPE_MISALIGNMENT. И...
Все структуры должны быть выравнены по 4-байтовой границе. На асме так, если не ошибаюсь: .align 4 fsi FILE_STANDARD_INFORMATION <> Это...
Алексей В Visual Studio в настройках проекта можно указать, чтобы компилятор не использовал сишную RTL, не подменял точку входа программы и не...
Узнать можно всегда, но там не все определяется флагами. В какой-то книжке по нутрям виндовс было расписано, как узнать, только не помню в какой :(
1) Если есть флаг FILE_DIRECTORY_FILE, то каталог. Если FILE_NON_DIRECTORY_FILE - файл. В других случаях возможны варианты. 2)...
Вероятно, ошибка в перехвате, управление сразу же возвращается обратно. В WinDbg или айсе ставь бряк на перехватываемую функцию и по шагам смотри,...
Попробовать :) Ну а говорить о незащищенности ядра можно только получив высокие привилегии от пользователя, но никак не под админом.
В лонг-моде для сегмента кода (CS) выполняется проверка уровня привилегий (DPL). А для дескрипторов FS и GS остается также и база. Так что...
http://info.borland.com/techpubs/delphi/delphi5/oplg/assemblr.html
kamatoz Sorry, думал ты про винду спрашиваешь
В данном конкретном случае первый вариант медленнее и код длиннее
А статус-то какой возвращается?
Да. Использовать KEVENT и KeWaitForSingleObject() (если ждать надо на PASSIVE_LEVEL)
NewNtOpenFile proc hFile:PHANDLE При вызове NtOpenFile все верно, передается hFile - указатель на хендл. При вызове NtQueryInformationFile должен...
Без синхронизации тоже все обычно работает. До поры-до времени.
EvilsInterrupt Их вроде бы не больше 3 в технических текстах используется, только не надо спрашивать, какие :)
hFile здесь указатель на HANDLE, надо разыменовывать
Gagar Дело обстоит так. Адресное пространство другого процесса можно читать, если можно открыть его с правами PROCESS_VM_READ. И писать - если с...
А для каких целей ты их собираешься использовать? Если для получения информации из TEB, то лучше использовать - меньше вопросов с совемстимостью с...
Имена участников (разделяйте запятой).
