Nouzoi если перехват осуществлялся через SDT, а RtlVolumeDeviceToDosName делает вызов напрямую, то какие тогда могут быть проблемы? не напрямую,...
Begemot И что-то мне подсказывает, что это не единственный случай. Так как же избежать зацикливания при использовании (Io)RtlVolumeDeviceToDosName...
Progr Можно пример кода с корректной обработкой, упомянутой Вами ситуации? Попробуй так NTSTATUS NewNtOpenFile ( ) { ..... if...
Progr в нутрях (Io)RtlVolumeDeviceToDosName происходит вызов NtOpenFile(oa->name=\\Device\\MountPointManager) , если это не обрабатывать, твой...
блин опечатка последняя команда add edi, ebx
модификация варианта B_108 - 32 байта lea edi, [ecx+edx] xor esi, esi sub ecx, edx cmovnc ecx, esi add ecx, edx sub edi, eax...
Объеденение - 47 байт Пересечение - 43 байта Сим.Разность - 51 байт Начало общее для всех функций (34 байта) mov esi, eax mov...
asd тогда так: 27 байт mov edx, ecx xor ecx, ecx cmp eax, ebx rcl ecx, 1 cmp ebx, edx rcl ecx, 1 cmp eax, edx rcl...
упс ошибочка вышла 31 байт mov edx, ecx cmp eax, ebx rcl ecx, 1 cmp ebx, edx rcl ecx, 1 cmp eax, edx rcl ecx, 1 and,...
27 байт mov edx, ecx cmp eax, ebx rcl ecx, 1 cmp ebx, edx rcl ecx, 1 cmp eax, edx rcl ecx, 1 and ecx, 7 mov eax,...
упс извиняйте, я наврал, у меня там такой код pushad mov eax,[esp+30h] mov eax,[eax] в данном случае [esp]=edi
Denis__ Скажите, пожалуйста, что находится в esp, если в [esp+30h] находится указатель на структуру ClientID. в esp адрес возврата из...
MegaZu "А если совпадают значит сам себя открывает ..." хотелось бы знать зачем, я так понимаю для получения инфы о себе или что-то еще?...
Перехватываю NtOpenProcess путем подмены адреса в SST, пытаюсь определить имя создаваемого процесса и имя создателя потока. Делаю следующие:...
Имена участников (разделяйте запятой).
