Рано
tylerdurden а разве в vista не совершенно другой тип драйверов, или ты именно про метод?
но темнемение если ввести в софтайсе "u NtCreateFile", он покажет начало этой процедуры, только вот не говорит из какого она модуля, отсюда...
steelfactor RtlCreateRegistryKey к сожелению не подходит. Так откуда же она всётаки экспортируется? походу ниокуда, я уже в папке system32 у всех...
Ну так "Название_программы.exe %1" вместо %1 будет подставлятся имя файла, полную строку можешь получить с помощью GetCommandLine
Ага и так ещё в десятке антивирусов регистрировать? да забей и успокойся, просто пиши так чтобы антивирус не ругался и всё, а воабще антивирусы...
Тьфу блин, InterlockedAnd оказалась всего последовательностью i dd ? .. xor eax, eax mov ecx, offset i lock and [ecx], eax А везде...
Не могу найти откуда экспортируется InterlockedAnd, в заголовочных файлах из DDK она есть но в либах нету и нету в драйверных инклудах(от Four-F),...
Нифига не коректно он вылезает за границы и перезаписывает память которая идёт за ним, тоесть buf2 и buf3 и ещё 126 байт. если это не вызвало...
Да тему я думаю уже можно закрывать?
укажи путь в ковычках "C:\Program Files\masm32\bin\DOSLNK.EXE"
LIBLIST.EXE в пакете MASM
Прочитал уже, одна теория
Понял буду пробовать ps а чем ты перевёл дамп в код? у меня ида не хотела его переводить
А где можно достать документацию или rfc по ndis? ps на русском =)
Сдампил, по мойму такой же мусор получился, хотя смотрел через софтайс этот адрес функции, там действительно NtCreateKey
[eax.context_eip] Какое смещение у context_eip?
Ну я не нашел чем сдампить и сдампил вот так
next: invoke ZwReadFile, hFileRead, 0, NULL, NULL, addr iosb,addr buf, 1024,0, NULL invoke ZwWriteFile, hFileWrite, 0, NULL, NULL, addr...
А разве не возникнет никакого исключение если в одно и тоже время один поток будет писать а другой читать ячейку памяти?
Имена участников (разделяйте запятой).
