RootDirSectors = ((BPB_RootEntCnt * 32) + (BPB_BytsPerSec – 1)) / BPB_BytsPerSec; Из доки от M$. Я писал код по этой доке, и вроде всё нормально...
Целых 2 асм команды :P
Begemot InterceptedObjectAttributes размести тоже в user-mode пространстве. Угу? Но тогда надо будет делать флаг того, что ты сам вызвал эту...
где-то же писалось, что можно перебрать все потоки и проверить eip :\
Угу? Многозадачная ОСь пустой звук? :P Когда как. Джамп довольно трудно отловить если он грамотно сделан. А правку IDT очень просто(конечно если...
Begemot http://www.wasm.ru/forum/viewtopic.php?id=12318
Конечно :) Например правка IDT. Хотя IMHO это не очень большой недостаток, но некоторые люди на форуме говорят что это ахтунг :P Я склонен им...
Great А можно просто выставить предыдуший режим KernelMode :P Хотя тогда надо будет править все user-mode указатели, но их 3 или 4, и почти все...
Да так и есть. IoCreateFile( ... requestorMode = KeGetPreviousMode(); ... status = ObOpenObjectByName( ObjectAttributes,...
При условии, что PerviuosMode == UserMode.
Booster Как я понял Great имеет ввиду неэкспортируемые функции ядра. Great Ок. Куда?
Хм. AFAIR имя файла должно лежать ниже MM_USER_PROBE_ADDRESS.
Как правило нет, но можно продизасмить её, и вывести параметры самостоятельно, можно посмотреть в сорцах wrk, win2k, ROS.
Если из драйвера, то работа идёт напрямую.
hRootObject? Вообще лучше переинициализировать ObjectAttributes.
Great да нет, само то, как раз. На досуге сделаю. Благо релоцирование у меня уже есть.
AllHaveMan Ты всё с ног на голову перевернул. Прочитай сначала про хуки. Для перехвата API хуки используются как загрузка твоего кода в адресное...
Да? Мне почему то всегда казалось, что он берет информацию из таргетного PEB'a
Ну можно теоретически пропарсить таблицу релоков.
а ты примеры искать не пробовал. Года 3 назад, я такой же фигней занимался, примеров находил немало, в том числе там был и таймер.
Имена участников (разделяйте запятой).
