KeSqueer при чем тут 2+2? :)
wsd А, хыхы. Заметил)
лучше и то и другое вместе )
WaterGhost А где твой текст сообщения?
Кстати, не "тетрадов", а "тетрад".
ну накатай быстро переходник. или места в памяти нет совсем?
если родитель explorer.exe или его потомок - то пользователем..
Ну типа того) Ой все вам расписывать надо.. VOID CreateProcessNotify( IN HANDLE ParentId, IN HANDLE ProcessId, IN BOOLEAN Create...
Да все прекрасно там написано! Калбек надо ставить ОДИН раз и не надо потом ничего менять. Вызывается он системой. Управление передается к тебе в...
Oh my god :) PsSetCreateProcessNotifyRoutine ставит обработчик, который вызовется при создании/завершении процесса. Перехватывать ее саму нет...
Дык может их просто нельзя прочитать, а только записать через порты? А прочитать через дров можно потому, что он их запоминает при изменении......
Хм черт а ведь была такая мысль =) сенкс
Я бы так и поступил, честно говоря. А вообще сделай анализ крешдампа в конце концов - какой код пытается быть вызванным?
rain вероятно в обработчике Double Fault это предусмотрено и он пересоздается..
Mika0x65 надо посмотреть какой тип trap-а. вполне возможно что и double fault
Mika0x65 да, согласен что протупил.. не про то думал когда писал)
загружает - это в какой момент времени? ты чтото перехватываешь и хочешь узнать источник или как?
Mika0x65 олька работает насколько я помню на DebugEvent-ах
rain он про то что в дос был байт состояния индикаторов. in-out не при чем
кстати насчет использования стека ядра - ну тогда получается что iretd тоже использует стек ядра, так? а почему тогда работает такой код? pushf...
Имена участников (разделяйте запятой).
