Это извлечение не безопасное. В случае, если будет передан неверный адрес, try-except здесь не спасет. Перед обращением к юзерской памяти в ядре...
Абсолютно все устройства в системе представлены в виде файлов, и их открытие происходит через функции XXXCreateFile. (Как заметил Zufyxe, таких...
?
Кстати, если IRP передается вниз следующему устройству, и окончание обработки ожидается на событии, то не надо возвращать STATUS_PENDING (см. в...
Если драйвер возвращает STATUS_PENDING, то он MUST вызвать IoMarkIrpPending: www.osronline.com/DDKx/kmarch/k104_9odu.htm (И наоборот, если...
Перехват делаешь в ядре? А как же открыть файл из ядра? if ((ULONG *)ObjectAttributes > MmUserProbeAddress) return STATUS_INVALID_PARAMETER;...
leo Наконец, пришли к истине :) Нашел мануал по инлайн-ассемблеру в Делфи: http://info.borland.com/techpubs/delphi/delphi5/oplg/assemblr.html...
lea edx, IED mov edx, [esi + 078h] ; mov после lea все сбрасывает add edx, hModule mov ebx, [edx].AddressOfNames...
Больше всего раздражает отсутствие 64-битных immediate операндов. Странная полу-совместимость аппаратных структур с 32-битным режимом. Пропущено...
Лучше бы он вообще никуда не встраивался :) вещь-то вроде неплохая, но местами как-то через не-совсем-голову сделано
В Win64 SEH реализован через статические таблицы, а не через стек. Для манипуляции им добавили несколько функций, но в подобностях пока это не...
Юзер-модным отладчиком по крайней мере такого больше сделать нельзя. WinDbg в юзер-моде НЕ может прочитать память по адресу вида CS:<valid...
_Serega_ .text:0000000078DA0420 ; BOOL __stdcall GetThreadSelectorEntry(HANDLE hThread,DWORD dwSelector,LPLDT_ENTRY lpSelectorEntry)...
Я в том смысле, что если каждый раз, когда нужно получить Peb, создавать поток, система работать быстрее не станет :) С кешированием и...
Ни один юзер-модный процесс этот файл не открывает ==> вывод, что он маппится в ядре. При использовании memory-mapped файлов у хендлов имя не...
Точно.
Тоже вариант, но уж слишком большой оверхед для такой маленькой задачи получается
Теоретически можно.
Хороший вопрос. Вероятнее всего, нет, тем более под WOW64. Но хочется написать по-возможности наиболее универсальный код, чтобы обезопаситься от...
Отсюда и вопрос о цели :)
Имена участников (разделяйте запятой).
