Victorvvs загрузчики бывают разные, тебе какой ? =) пе-файлов, бутлоадер, инеткачалка? :)))
на структуры или следующие LIST_ENTRY
Ага =) Это выливается в вызов NtQuerySystemInformation с флагом 5. Самый надежный способ определения имени процесса - чтение секции из драйвера.
дык на то это и BEGINNERS =)
Если заботитесь о совместимости с ранними нтями, тогда RtlGetVersion лучше не использовать, потому что под 2k её нету :) А как что делать, это...
китайские антируткиты новой волны ))
На кой х. заражать дрова? А как быть с такой фигней как "цифровая подпись"? Не, реально хотелось бы посмотреть на конечный результат, как бы...
Нет, без SP, с SP1, с SP2, EPROCESS одинаковый. Насчет home edition фиг знает. А вот в Win2k3 они отличаются. И они отличаются между сервером без...
Хм, вообще то она у меня даже драйвер не может загрузить. А если грузиться вручную - выдает bsod, ИМХО смещения в ядре так явно забивать...
В Win2k3 с сервис паком (не важно Standard, Enterprise) EPROCESS несколько изменился, так что меняйте offset'ы
Always glad to help. Да не за что :)
А поискать в гугле не пробовал? ;)
I'm sorry I'm not using MSN or Skype. Post here or on Sysinternals your questions and we maybe answer on them.
Сноситься MZP заголовок, offset на PE-заголовок и все приехали. Можно ещё почистить кусок кода до блеска и при этом все будет работать. А можно...
We are walking inside thread and making code analysis. That method was implemented in last private version of Rootkit Unhooker, as I remember...
To hide driver from PsLoadedModulesList all what you need -> flink/blink redirection. IceSword using the following methods for hidden drivers...
@gilg Попробуйте последнюю версию, хотя возможно это какие-то проблемы с HT. @sdfnabc Try DarkSpy www.fyyre.net/~cardmagic (almost the same...
Очень интересно, а минидамп то можно посмотреть, хотя бы один?
Найди себе подругу :)
Увы, ничего недектируемого не бывает. Процесс phide_ex достаточно легко обнаруживается весьма ломовым способом :)
Имена участников (разделяйте запятой).
