nitrotoluol <Точка входа у этих функций одна, так что принципиальной разницы нет > Нет. Точки входа у них разные. Смотри внимательнее. Denis__...
и откуда вы такие топики подниматете?
DependencyWalker эта прога и winnt ресурскит 4. Про неё я тебе говорил, так нада или нет ? Там архиф 4 метра .
NTSTATUS MyZwTerminateProcess(IN HANDLE ProcessHandle, IN NTSTATUS ExitStatus) { PVOID pObject = NULL; POBJECT_HANDLE_INFORMATION...
<Как антируткит определяет, что драйвер или процесс пропали? Гы, все очень просто =)> Отмониторив! как вариант.
EP_X0FF =))))))))))))))))))))))))
шо вы завелись со своей свистой ??? народу со старым железом ещё валом, и пакупать новое железо с целью перехода на "любимую" висту для работы ф...
есть такая макрософтовская приблуда. Точно не помню. Там тулкит. Если дашь мыло то пришлю.
хотя..... может я и натупил
tylerdurden <В peb писать можно уже на колбэке о создании процесса (который ставится PsSetCreateProcessNotifyRoutine).> Да ну !!! Неужели !!!...
kaspersky Я не из тех людей кому нужен пиар. Не очень приветствую если где звучит мои ФИО, тем более если вдруг как-то свяжется с моим ником.
мыщъх' ну ты блин и ляпнул(. Какой нормальный чувак будет сюда заливать данные себя любимого компрометирующие. Сам знаешь кому пиар важнее денег=)
Значит, брать иду, и выбирая тип платформы вручную дизасмить дамп, до тех пор как в тексте начнёт проглядывать что-нибудь разумное.
Great да это ясно. но в этих полях стоят я так понял смещения, на что они показывают ???
Собсно вопрос. Что такое LIST_ENTRY MemoryOrder; и LIST_ENTRY InitializationOrder; Объясните плиз. С чем их есть ? Это в ядре
Sickle Пишешь драйвер и мониторишь. Или, ищешь объект в памяти и смотриш туда.
kabancho Кароче. Берёшь портдрайвер жесткого диска, который в самом низу стека лежит. Дизасмишь. Фтыкаешь в замен инструкция in/out какой-нить...
бугого! дату на компе назат отматай ))))))))
книжица есть такая Микропроцессоры Intel Барри Грэй кажется автор. Посмотри в общем
ЖЖОТЕ !
Имена участников (разделяйте запятой).
