Тебе для чего? Могу тебе скинуть ntifs.h с огромным количеством вкусных прототипов и в процессе составления мой собственный ntdll.h
Ivan_assm А если не секрет зачем? Передавай в функцию дополнительный флаг и в зависимости от него выполняй или не выполняй стартовый код. А вообще...
microsoft.com? я оттуда качал и нормально оно работает. я, правда, тока ядро, хал, нтдлл и кернел32 заменял
Mikl__ Кстати хорошая мысль +))
l_inc Зачем на масме. Сразу в хексредакторе! =)
стопт удерживать блокировку на весь список во время работы с ним.
Ну ты заикнулся про IopLoadUnloadDriver, так вот скажу, Как происходит обработка запроса на загрузку дрова. Zw(Un)LoadDriver ставит в очередь...
RTFMSDN for RegCreateKeyEx, RegSetValueEx
создать ключ в HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run или аналогичной ветке в HKLM
crypto с каких пор in/out считаются BIOSом?)
посмотреть исходные коды ядра, я уже назвал функцию. либо в IDA Pro, но там не очень понятно будет
посмотри в Windows как меняется CR3 и как в этом участвует EPROCESS::DirectoryTableBase. А именно, посмтори код KiSwapProcess (кажется)
В винде есть промапленный апик, я не понял причины проблемы. Посмотрите код KfRaiseIrql для hal, где идет запись в TPR: .text:80012278...
Ты спосил: они нужны? Ответ - да, конечно=) Какие вопросы то. для каждого процесса*. да.
да конечно они есть.
Ну так этот объектник импортирует только из самого ядра, как я помню архитектуру installable modules в лине. Видимо, там действительно реализован...
не вариант. надо хукать WorkItem для выгрузки, тем более что несложно это сотворить - всего лишь поменять адрес Worker Routine Уже 1000 раз...
так речь про линупс?
> или иным способом, что упрощает борьбу с анти-отладкой... антиантиотладка.. дожили :D >не такой уж и большой гемор, если написать типа "хелпер"...
ну вот и различай по возвращаемому Map =)
Имена участников (разделяйте запятой).
