Это указатель на структуру USER_STACK
Спасибо, как то про IoStatusBlock не подумал
Как узнать где конец файла? как узнать сколько байт реально прочитано функцией ZwReadFile? А может в ядре уже готовая функция есть =)?...
А когда ты переустанавливил виндоус ещё до устновки всякого софта, чистая только что установленая система тоже логала?
А у меня воабще он запускается вроде как работает но его окно воабще не видно, нажимаешь CTRL+D и дальше можно работать в Windows, но вот почему...
5.1.2600.2622 804D7000
а вот вернуло именно "\windows\system32\ntoskrnl.exe и открыть с помощью CreateFile не удаётся, к стате а как смотреть инфу к файлу?
ну например я загрузил драйвер со съёмного диска(флешки) то перечисление драйверов покажет мне путь \mydriver.sys а как мне узнать имя диска с...
А если модуль загружен не с системного диска, как к нему узнать путь?
вот
дамп чего?
Ну вот например антивирус мне выдаёт следующие Функция NtCreateKey (29) перехвачена (8056E761->F8507FE0), перехватчик...
Ну антируткиты же как то востанавливают такие функции, а мне нужно её не востанавливать а просто узнать её реальный адрес чтобы обратится на...
Как вызвать напрямую функцию похуканую кем то через ssdt в обход этого хука?
ZwQuerySystemInformation(InfoClass=SystemModuleInformation) возвращяет не полный путь. "\windows\system32\ntoskrnl.exe" как узнать имя диска на...
Как вариант можно затерать файлы перед удалением а потом удалять, тоесть файл восстановится но содержимое будет уже нули и еденицы, я например...
Параметры я как то не учёл =) а без них работает! ну а функции которые не предусматривуют возврат нет смысла перехватывать
не испортит, просто в стеке останется ещё один адрес возврата старый, который будут адресом возврата для перехватчика, он его затрёт своей...
ну Jmp то всёравно прыгнет по адресу в стеке, а call для возврата нет смысла использовать, потому что она сама адрес возврата в стек помещяет
а что же тогда?
Имена участников (разделяйте запятой).
