В продолжение темы... по ссылке от 90210 в исходниках есть такая процедура : getKiServiceTableAddr. И в комментариях к ней указано, что это "a...
Разобрался: IoStatus.Information был ноль
убери LVS_SHAREIMAGELISTS
Может ли DeviceIoControl в качестве входного и выходного буфера принимать один и тот же адрес (т.е. чтобы данные, передаваемые в драйвер,...
Заодно можешь себе присвоить вожделенного драгона
Для юзера вызов ZwMapViewOfSection всегда выдает адрес AA0000h. Для кернела в течение одной загрузки windows ZwMapViewOfSection выдаёт...
Да я уже попробовал без этого макроса. Все работает. Замаппировал секцию, и прямо её адрес в ядро передал. Worker proc uses ebx...
Спасибо, попробую этот вариант. Единственно, непонятно, что за PAGED_CODE(); такая? На асме это как, а то у меня нет си, чтобы посмотреть на...
Four-F Если менять PreviousMode небезопасно, то наверное лучше для call XXXXXXXX сделать отдельный тред со своим чисто ядерным буфером, и в нем...
Насколько я понимаю, PrevMode указывает валидность буфера, переданного при I/O: the driver must be able to determine whether the caller's pointers...
Ещё вопрос по теме: Если вызывать сервисы напрямую, минуя SDT, например так: push NULL push memSize push memPtr push...
90210 Вот как раз это и надо, спасибо.
Нужна таблица SDT (неискаженная) В принципе я это сделал в юзере, но из драйвера по-моему это значительно проще будет. Код выполнять нет...
Можно загрузить в своё адресное пространство персональную копию какой-либо dll (допустим advapi), пересчитать адреса импорта, и пользоваться ею...
CARDINAL В смысле ZwCreateThread? Если о нем речь, то я после отладки уберу всю работу с файлом в отдельный поток. Буфер для юникода...
это что, настолько холодно, что ветер загустевает?
В этом и была ошибка:MaximumLength оставался прежним. А strlen нужен потому, что к строке может добавляться другая стока произвольной длины (что...
Вроде нашёл: RtlUnicodeStringToAnsiString,...,...,TRUE выделяет буфер и транслирует в него юникод-строку. Если к этому буферу делать strcat, то...
Уже начинаю с бубном плясать - обрамил код вызова ZwWriteFile такими вот рюшечками от Four-F: _try invoke ZwWriteFile,...
Держать глобально открытый - тоже пробовал - там вообще даже одновременно один процесс запустить редко удается. Например запуск notepad - 100%...
Имена участников (разделяйте запятой).
