Неа. Будет replace <device name>\<path> ==> <DOS disk name>\<path>
Построить подобную защиту в принципе невозможно. Защититься можно только от юзер-модного кода, который работает без прав отладки, загрузки...
Попробуй RtlVolumeDeviceToDosName Такие темы уже были, может поможет: http://www.wasm.ru/forum/viewtopic.php?id=7004
Первая ссылка в гугле на KeStackAttachProcess дает...
ObReferenceObjectByHandle(..., *IoFileObjectType, ...) Дальше ObQueryNameString, либо из полей структуры - вообще все что нужно
mov dword[pde],010000011b ; PS or W/R or Present mov dword[pdpe],pde+3 ; W/R or Present Здесь явно что-то не так. Во-первых, при включенном...
Ну можно создать, например, shared memory section
Кто бы сомневался, что .NET микро-тормоз (или майкро?)
WM_GETTEXT, EM_GETSEL, а потом вырезать ненужное?
Будет что-то типа никсового fork(). У Неббета в книге была полная реализация
Сначала было просто return *((char *) func_start + 1) , работало везде, кроме Win64 :) Потом перевел на udis86, соответственно, работает везде.
Мной :)
Да (Win64 не в счет). Кроме того, можно проверять по опкоду "mov eax,immediate". Да и вообще зачем писать свой дизассемблер, когда чужих полно :)
Посмотри в дизассемблере код любой функции с префиксом Zw*. Там есть инструкция "mov eax,<number>". number - номер сервиса в sdt. Простейший...
TarasCo Точно Да. Все функции в Windows гарантируют нормальный возврат, либо (об этом всегда говорится в документации) выбрасывают исключение....
im1111 http://www.wasm.ru/forum/viewtopic.php?id=14322
Схематично механизм такой: Перехваченный_ZwCreateProcess(PHANDLE handle) { original_ZwCreateProcess(handle); Имя_файла, размер_образа, и...
winlogon обычный процесс. Имхо, ошибка в коде. Поток-то вообще создается?
После вызова оригинальной ZwCreateProcess в параметре ProcessHandle будет содержаться хендл создаваемого процесса, по нему можно получить все, что...
По-любому нужно в своем обработчике делать очередь и синхронно ждать возврата своего Irp снизу, потому что гарантировать нужный порядок их...
Имена участников (разделяйте запятой).
