> А разве код драйвера защищен от записи? Если памяти мало и испольутся 4 кб страницы, то да, если 4 мб - то нет. Я сам на эту фигню...
Хочу спросить, стоит ли писать статью про обнаружение скрытых руткитами процессов (будут конкретные примеры, дофига методов обнаружения и...
Перед именением кода драйвера в памяти, нужно сбросить WP бит. mov eax, cr0 mov ebx, eax and eax, 0xFFFEFFFF mov cr0, eax после...
Неплохо бы конечно статьи сюда выложить. Я сначала писал в редакцию васма, но мне никто до сих пор не ответил, поэтому решил выложить сам....
Выложил. Прошу прочитавших оставлять комментарии о статьях здесь.
Если все-таки кому нужно, пишите здесь, могу выложить обратно.
Сайт удален, так как он нахрен никому не нужен.
http://ms-rem.narod.ru/hook/index.html Моя серия статей "Перехват API функций в Windows NT". Может кому и пригодится. Подробное...
Драйверы фильры делаються не под винчестер, а под файловую систему. И причем, писать такие драйвера весьма сложно. Тебе обязательно понадобиться...
Под Windows напрямую работать с видеопамятью можно только из драйвера, а иначе придется юзать Direct X.
Система хуков в Windows NT построена на десктопах. Процессы служб имеют по умолчанию свои десктопы, и не могут ставить хуки на десктоп...
Все функции вызываемые NET приложением в конечном счете приводят к вызовам обычных Win32 API, поэтому можно просто перехватывать их с помощью...
ну от этого можно избавиться, что нам мешает подправить Пид? Ага, тогда для полной корректности смены PID надо еще в таблицы хэндлов лазить и...
Установка будет идти от админа, при этом ставиться драйвер, а потом работать можно и от юзера.
Никогда не меняй PID процесса на уже существующий. Два процесса с одинаковым PID приведут к рассогласованию структур ядра и к синему экрану в...
Статейка может быть и будет.
YoungBastard Извини, это коммерческая разработка.
Пробема решается перехватом апи в процессах Отглюка или ИнетЕксплорера. Можно перехватывать непосредственно сокеты Connect, Bind, Socket, но...
Да ты прав, обращение из int1 (DPL=0) ничем не отличается от обращения к pageable памяти из обработчика аппаратного прерывания. Хотелось бы...
Да, действительно тем кто пишет протектор этот исходник может очень пригодиться. Весьма неплохой пример. Хотя, скажу по секрету, я сам сейчас пишу...
Имена участников (разделяйте запятой).
