Код немного странноватый, но это мелочи. Для начала следует попробовать передавать ZwCreateThread вместо NULL инициализированную нулями структуру...
Принципиальное решение понятно - вручную создавать стек, инициализировать контекст и вызывать ZwCreateThread, как в примере у Неббета. Его код, не...
Сто пудов, под XP виснет. И ничего умного по этому поводу в голову не приходит
KeAttachProcess работает, так как иначе она бы валилась в бсод Win2000 под VmWare. Погоняю под XP сегодня попозже или завтра
Совершенно правильно. Хендлы из kernel таблицы могут быть видны только из ядра. См. Comments там же: drivers that run in a process context other...
Не знаю :(((
RtlCreateUserThread возвращал значение 0xc0000008 - INVALID_HANDLE_VALUE. Соответственно, хендл hProc не валиден во время вызова. В...
ПЛИСы не являются машиной Тьюринга, но до интеллекта им явно далековато
Разбираться с проблемой конечно не хочется :))) Но вопрос актуальный, потому что совсем недавно сам этим занимался и интересно посмотреть на...
RtlCreateUserThread вообще не проверяет, откуда она вызвана ==> ей по фигу. Вообще, не встречал ни одной нативной функции, у которой были бы...
Валится однозначно из-за ошибки в callback`е. После инжекта функции в процесс нужно выполнить relocation для всех вызываемых функций, так как...
Смотри третий том Intel Manuals "System Programming Guide", в нем Chapter 9.5.1 "Cache Control Registers and Bits". Мануал можно качнуть на...
Syscalls table: http://www.metasploit.com/users/opcode/syscalls.html Sherlock Сложно что-то сказать по такому описанию. 1) какой код ошибки...
Позволяет ли прошивка винта читать/писать из сектора, помеченного как бэд? Или это разруливается на более высоком уровне?
Для Pentium 4 и P6 нужно отключить MTRR`s и/или пометить всю память как некэшируемую PS: Конечно, это в дополнение к установке битов в Cr0
Sherlock Была ссылка на страницу со всеми индексами для всех версий виндов. В понедельник выложу Есть еще способ - послать kernel-mode APC в...
В драйвере всегда kernel. В юзер-моде можно выполнить только юзер-модную APC Да В драйвере такое тоже вполне возможно. Нужно только установить...
censored Под WinXP работает. Возможно, что не будет работать под WinXP на процах от AMD, но не проверял. Точно не будет работать под Win64, потому...
leo Интересная идея!
Можно. Либо через int <номер сервиса>, либо поиск адреса в ntdll.dll и вызов функции напрямую. Первый способ проще, и примеры также пробегали по...
Имена участников (разделяйте запятой).
