Кто нибудь сталкивался с такой проблемой? В перехваченной функции CreateProcessInternalW изменяем флаг dwCreationFlags на CREATE_SUSPENDED...
n0name, придётся ))
почему замудрено? наоборот удобно... edi сразу указывает на параметры, че хошь с ними и делай... и никуда они не теряются... я думаю eax не стоит...
После установки хук-процедуры на NtOpenFile при открытии любого файла вылазиет MessageBox в котором написанно что параметр задан неверно... как...
спасибо большое x64
Собсно вопрос: какие нужно перехватывать ф-ции в ring0 для отслеживания переименовывания файла? пробывал стваить хук на NtCreateFile, но она не...
спасибо 2FED! сделал снимок... там точно создается ключ "DeleteFlag" dword = 1 Буду делать его сокрытие и запрет на изменение
censored оч смешно....) складыватся впечатление что дрова на асме уже никто не пишет...а пишут на С из ддк, скачать который не имею возможности
почему сразу делфи...:) .... на асме, еслиб на делфи делал...нафига б я сдесь тему подымал... пошёл бы на "королквство делфи"...или ещ куда...
жалко что на С.... я его синтаксис плохо знаю
посмарел ф-цию DeleteService в отладчике... там точно через RPC происходит.... в дроваписании я новичек, так что ума не приложу как осуществить...
да не охото его ставить на ноут.... потом винда будет глючить... если ток ещё одну хрюшку поставить....
Имена участников (разделяйте запятой).
СообщениеСообщение