Clerk KeCapturePersistentThreadState?
проблема в том, что клава всегда держит 1 IRP задержанным. и при его обработке бсод ищем на rootkit.com статью про unloading filter drivers
На самом деле так. 1. По первому параметру винда определяет устройство DEVICE_OBJECT (реальному устройству он может соответствовать, а может и нет...
общая)
Novi4ek, полегче, полегче
dgs через символ \r, который переводит курсор в начало строки. NtDisplayString поддерживает только два управляющих символа - \r и \n
driver development kit. теперь он называется WDK вроде
Clerk подмена подсистемы не прокатит если юзается NtDisplayString или еще что-нибудь такое, что возможно только до загрузки вин32 подсистемы. А...
Novi4ek Ну "отлаживать" это сильно сказано, можно локально "смотреть" на работающую систему. Ctrl-K, Local Debugging. Можно будет получать список...
V00D00 подсказка: hex-rays
Дописывается по мере появления свободного времени.
Обычную загрузочную дискету с досом, а в autoexec.bat: format c:
А зачем автор так написал? Почему тупой код тупой, а трава зеленая, а случайно не знаешь?
vg ээ а CharToOem?
Можно собрать консольное приложение и насоздавать окон как сказали в #3 Либо можно собрать GUI приложение и выделить консоль через AllocConsole, а...
OBJECT_ATTRIBUTES Oa; UNICODE_STRING Ua; NTSTATUS Status; HANDLE LinkHandle; RtlInitUnicodeString (&Ua, L"\\??\\COM3");...
Что-то это больше похоже на руткит, а не на проактивку -) Для скрытие файла тебе будет достаточно написать фильтр файловой системы имхо. Для...
Исходник будет или пора запасаться кофейной гущей? ) И скажи на чём тестишь (реальный комп, если виртуалка, то какая)
Если он сам отваливается, то в конце концов он все равно для самого себя сделает NtTerminateProcess
csrss это Win32 подсистема. олькой вряд ли тебе удастся ее отладить.
Имена участников (разделяйте запятой).
