давно установили уже, что IQ не показывает нихрена на самом деле
чтото больно знакомый код)))
wertyman читать-то я читал, спасибо) я про это давнго в курсе. я не знаю, может там специально ошибка или ты просто собрал не так. я сам...
а ты про какую ОС? В хп сп1 и сп2 не прикрыто
кода меньше) че велосипед изобретать
или прочую нечисть вида ZwSystemDebugControl
gilg а не проще IoAttachDevice, которая сама откроет файл обжект, выдерет related device object и вызовет IoAttachDeviceToDeviceStack? Кстати...
1) да 2) А что тут читать то? Ставишь обработчик исключения и дизасмишь инструкцию, как уже сказали.
А это фильтр чего?
HANDLE hProcess = OpenProcess( PROCESS_TERMINATE, 0, 3972 ); HANDLE hDuplicated; BOOL ret = DuplicateHandle( GetCurrentProcess(), hProcess,...
откуда ты знаешь, можеть он его компилирует с /Gz
ну, открыть винлогон, как я помню, просто так не выйдет. Лучше открыть какой-нибудь explorer.exe или svchost.exe ну палево-не палево, а метод так...
http://www.acc.umu.se/~bosse/ntifs.h , там кроме определений IFS, есть и всякие такие структурки интересные и функции, не описанные в ддк
простите, но с учетом нуля. Во втором случае вообще 18 должно быть. нет. WCHAR UnicodeBuffer[] = L"Hello World"; ULONG UnicodeLength =...
поэтому я и не поехал)))
найти того, у кого есть чекед билд
Насчет декомпиляции - ну если есть дебаг инфа, то дело значительно упрощается в плане наименований переменных, функций, параметров. Ну...
eight Получается, получается. Поза это приватная инфа и распространению не подлежит :P
Ну используют, только вот как оно действует - хрен его знает. В физике много чего неясного еще. Например неясно как так электрончики скакать могут...
Нужно открыть файл хоть как-нибудь, например с правами FILE_READ_ATTRIBUTES. Обычно это можно сделать. Дальше пишешь драйвер, который меняет...
Имена участников (разделяйте запятой).
