Спинлок - ресурс глобальный, когда он залочен, то его могут ожидать и другие потоки в драйверах, такое использование спинлоков быстро повесит...
Какой-то мутный код не имеющий отношения к этому вопросу.
Неувязочка вышла, KeWaitForSingleObject нельзя вызывать на IRQL=APC_LEVEL. Процесс останавливается, но не запускается. Что получилось - смотри...
Описания некоторых NativeAPI функций и структур, нужно для обеих предыдущих библиотек [img] _1025952510__NativeAPI.rar
Все файлы Ring0 библиотеки [img] _745107369__PhysMem.rar
И еще одна библиотека: AdvApiHook (Advanced Api Hook Library) На форуме часто задавались вопросы по API перехвату и определению размера...
По многочисленным просьбам которые полетели мне на мыло я выкладываю на форуме исходный текст своей Ring0 библиотеки для Delphi. Если это здесь...
Надоело это беспочвенное обсуждение, сейчас делать нефиг, напишу остановку процесса описанным методом, и в следующем посте будет полный код для этого.
GPcHТы попробуй им что нибудь защити, а потом защищенный EXE распакуй - посложнее будет Полный мануал по распаковке программ защищенных GHF...
Короче, есть такая идея: Найти все потоки останавливаемого процесса, определить адреса их ETHREAD и поставить каждому в очередь Kernel Mode APC,...
Смешно это назвать протектором, распаковка занимает 5 минут. Залепа это просто какая-то. Образец того, как не нужно писать протекторы.
ProgramMan > Если это просто догадки надо писать ИМХО. Софтайс может работать сразу после старта ядра системы, когда никакая графика еще не...
ravПоднятием IRQL можно заблокировать только один процессор, так как у каждого процессора свой IRQL.
Короче, надо создать устройство, и ассоциировать с ним символическую ссылку COM3, назначить процедуры обработки IRP и будет работать. Ну а чтоб...
NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath) { NTSTATUS st; PCWSTR...
А на многопроцесорной системе придется запрещать прерывания на всех процессорах. По-моему лучше тогда далать это управляя контролером...
IceStudent Нет, библиотека самописная, и кроме открытия портов еще много чего может (выполнение кода в Ring0, скрытие процессов и.т.д.)
Чтобы узнать HHOOK внутри обработчика надо его передвать в процесс куда внедряется длл. Это можно сделать через маппинги. Если юзать хуки в НТ, то...
Перехват KiSwapThread ненадежная штука. У тебя он может заработать, а у других вызвать BSOD. В новой версии винды точно работать не будет. А если...
Прямой доступ к портам описал Four-F в своей статье, а если надо на дельфи и без драйвера к портам открывать, мыль мне на ms-rem@yandex.ru у меня...
Имена участников (разделяйте запятой).
