Если ты создаешь девайс с именем MyDriver, то с таким именем его и должен открывать, пофиг где у тебя драйвер лежит.
Вообще то DriverUnload ничего не возврщает.
Можно, и он действительно будет постабильнее, но PEB можно изменить из юзермода, поэтому полагаться на него в драйверах будет наивно. Например...
IoGetCurrentProcess в обработчике покажет EPROCESS вызывающего процесса, а там читай ProcessName. Если надо полный путь, то...
Вот пример установки хуков путем сплайснга с дизассемблером длин. Правда там синтаксис фасма, но авось чем-нибудь поможет. HookCode: ; fnAddr,...
Следует копать в сторону GetCommandLineW/CommandLineToArgW
Да этот фильтр мне до ноги, так как он выше NDIS стоит, в tcp/ip стеке, а стек я свой загружаю. И это ему тоже пофиг, оутпост без этого фильтра...
Блин, а то что вначале каждой соответствующей ntdll функции стоит mov eax, number тебе ни о чем не говорит? Ну дык ты головой подумай, как...
В win95, 98, ME. А еще в MS-DOS. А что такое NTSTATUS вкурсе? Его возвращают все NativeAPi. Она там есть.
Путем сканирования экспортов ntdll и поиска функции с нужным номером. Во-первых, не KeServiceDescriptorShadowTable, а...
В атаче соответствующий код из сорцов ReactOS. [img] 294889830__text.txt
Спасает, но не от оутпоста.
Из драйвера нельзя вызывать функции kernel32. Чем спрашивать, лучше бы уже давно написал разбор строки вручную, тут делов то на 5 минут.
Попробуй линковать с ключем /NODEFAULTLIB
Пермутации и ВМ. А еще лучше даже не браться за протектор если нет конкретного заказчика, все равно никто не купит.
В том, что фаерволлы еще и на NDIS сидят, а TDI фильтр ведет список IP и портов с которыми связаны разрешенные соединения, позже на NDIS уровне по...
Ну, над некоторыми средствами защиты можно действительно посмеяться. Например это антивирусы, сама суть которых построена на давно отжившем...
Нет почему-же, скопировать можно, да только кроме бсода не удасться ничего получить :) В таблице находятся адреса функций в win32k, и эти адреса...
GetModuleHandle у меня собственно и перебирает модули через ZwQuerySystemInformation (только идет дополнительная обработка для ntoskrnl и hal, так...
Нет, хоть PEB недокументирована, но большая часть этой структуры сохраняется неизменной во всех существующих версиях NT. Например код получения...
Имена участников (разделяйте запятой).
