а чем решение как у меня в посте не подходит? из user-mode скорее всего никто не перехватит.
Мне показалось что вопрос идёт как раз про использование стандартных утилит. Хотя мож ТС разъяснит ;)
это не кеш, и даже не хеш. скорее всего закодировано base64.
TermoSINteZ а откуда приложение адрес маппинга узнает?
Разве для форматирования используется NtWriteFile? o_0 Есть же даже IOCTL для форматирования AFAIR.
DeviceIoControl можно перехватить. Лучше в драйвере модифицируй IDT, а при вызове int X в твоём приложении, управление перейдёт к драйверу, ты...
IceStudent typedef unsigned char byte, *pbyte; компактнее =)
typedef unsigned char * pbyte либо юзай PUCHAR(PBYTE).
SPA Ну да, потоки драйверов исполняются в контексте System процесса. И cr3 для этого процесса содержит адреса выше 2Гб.
там для каждого процесса своя таблица страниц.
угу, поэтому Линус Торвальд написал ОСь с помошью его книги. хотя если ты хочешь практического освещения предмета, то нужно вчитыватся в даташиты.
смотря в какой ОСи, и как происходит организация защиты АП процессов.
погугли по TDI firewall, исходник не представляет сложности для изучения.
ы, нет конечно. Советую перечитать весь цикл с начала.
CreateFile/ReadFile/WriteFile/... тоже отправляют IRP-запросы к драйверу. а DeviceIoControl() ну никак не отправит что-то другое кроме IRP_MJ_CONTROL.
поиск по форуму, тема не раз поднималась
www.filepost.ru
код из первого сообщения в принципе не компилируем. как я выше написал 0x0000007E - это AFAIR UNHANDLED_KERNEL_EXEPTION, а 0xC0000005 - ошибка при...
а где код, у тебя ошибка при доступе к памяти.
WaitForSingleObject() не подходит?
Имена участников (разделяйте запятой).
