Разбираю софтину состоящую из кучи дллок. В проекте одной дллки разобрал структуру, хочу ее скопировать в другой проект. Вообще есть какой-то...
В процессе исследования одной программы понадобилось определить алгоритма расшифровки одного файла. Использую WinDbg. Нашел где файл мапится в...
Перечисляю я подключи \\Registry\\User с помощью ZwEnumerateKey, в параметрах указана KeyBasicInformation. На пожкдючах .DEFAULT S1-... 18 --...
Есть драйвер, создающий для связи с юзер-мод девайс и символическую ссылку. RtlInitUnicodeString(&DeviceName, dDeviceName);...
В юзер моде я бы определил sid процесса, создал SecurityObject для key реестра и так далее. А в кернел моде? Кто-нибудь этим занимался? Какие...
Объявил я структуру MY_LIST_ENTRY в которую поместил в качестве поля KEVENT, структуры помещаю в список какой-то неважно. typedef struct...
Нужно мне сделать драйвер, который загружает 20 Мб файл и периодически в нем ковыряется. Писать в файл не нужно, только читать. Это вообще...
Вообще мне нужно саспенд процесса делать в кернел мод
Process Explorer умеет это находить..... Также интересует, как узнать имя пользователя под которым запущен процесс
Написал я драйвер-перехватчик API через SST. Для сообщений пользователю завел GUI приложение. Все вроде работает - драйвер перехватывает,...
вылезает бсод при DbgPrint. ObjectAttributes->RootDirectory – это handle key реестра, полученный перехватом NtOpenKey. Он правильный, так как...
сабж
Поделитесь кто-нибудь кодом, а то не получается у меня ничего....
OBJECT_ATTRIBUTES EventOA; UNICODE_STRING ustrEventName; RtlInitUnicodeString(&ustrEventName, L"MyEventsFakeName");...
я замучился его собирать из ntifs.h :(
Перехвачена у меня какая-то функция, положим, что NtOpenProcess. Нужно передавать информацию о перехвате в какое-то другое место и (самое важное)...
http://gr8.cih.ms/uploads/syscalls.html Вот тут походу ошибка в функции NtOpenProcess. Написано 0xbf, а у меня в висте 6000 0xc2, притом я...
Пример к статье "Перехват функций Windows NT". Под Вистой IoCreateDevice выдает NT_STATUS_OBJECT_NAME_COLLISION PCWSTR dDeviceName =...
собственно статья http://www.wasm.ru/article.php?article=apihook_3 куда выводит этот DbgPrint собственно?
Имена участников (разделяйте запятой).
