Это я уже сделал, но только для EnumServicesStatusEx (маппинг advapi с пересчётом смещений), чтобы отловить скрытые драйвера hxdef'а. А в...
Broken Sword А что расстраиваться-то :) Всё достаточно чётко прослеживается: w2k использует int 2E, XP и выше используют переход на syscall...
Спасибо :) Я думаю, что XP sp1 будет такое же, как sp2
Народ, кому не лень, запустите программку в аттаче, она считает 16 байт из ntdll и покажет их в MessageBox'е, скопируйте Ctrl+C и вставьте в...
Это если количество параметров варьируется от 1 до 10, получается 20 typedef'ов, 10 Func'ов :( Похоже макрос тут не получится. В общем...
Судя по common и {} это фасм. А для масма это как будет?
Добрый день. Люди, помогите с макросом. Никак не пойму их (макросов) философию :( Нужен макрос для вызова ф-ции не по имени (как в invoke), а...
[offtop] процесс дурной, так ни одной проги и не нашёл, чтобы смогла корректно убить его
Надеяться на "хороший" поток - долго ждать, Ссылка оказалась полезной, спасибо. Там и нашёл, как избавиться от хука EnumServicesStatusEx, не...
Если парсить реестр, то получишь только имя, текущий статус, номер процесса, запустившего сервис и проч. инфа недоступны. А как вызывать...
Как можно получить список сервисов работая в кернеле ?(нужна аналогия юзермодного EnumServicesStatusEx). Спасибо.
Сначала надо инициализировать структуру oa InitializeObjectAttributes addr oa, NULL, OBJ_CASE_INSENSITIVE, NULL, NULL
Есть такой руткит: hxdef100r Как я понял, он для скрытия перехватывает ZwQuerySystemInformation, и чтобы обойти перехват, я нарисовал свой вызов...
Saint German Понял я в чём трабл с "незапусканием" :) Похоже, ты сидишь в 800х600 Установи разрешение экрана как минимум 1024х768.
Saint German То, что аутпост кричит - это его личная проблема. Программа, которая запускается для обнаружения скрытых процессов, должна иметь...
Dll с хуком WH_CALLWNDPROC. В windir ставится, туда же и драйвер ставится одноименный. Драйвер пишется на диск только при уничтожении процесса....
Saint German Не стал причёсывать, как есть. Все равно потом переделывать, добавлять и т.д. Зачем лишняя работа. А интерфейс - дело...
А есть на чём тестить? Секретного ничего там нет, довольно простенький, не знаю, представляет ли интерес... Определение процессов в юзермоде (3...
написал детектор скрытых процессов, теперь нужны скрывающие себя исполняемые файлы, чтобы на них проверить свой детектор.
вход в цикл next можно сделать так: jmp _jmp_in next: mov edx, Alpha and edx, edx ;;;; ;;;; ;;;;...
Имена участников (разделяйте запятой).
