спасибо
сабж
неа, кроме этого мы делаем еще много чего, и много интересного в системе можно так пропустить...
Всем доброго времени суток. очень хочется стать(сесть, лечь) фильтром на сей чудный девайс ))) Что в общем сделать совершенно не сложно -...
утилиты - не знаю, можно самому похучить нужные функции, но вот как узнать какой это драйвер?
круто! особенно насчет NtBuildNumber == 2195 ))) мы это делаем для всех w2k - тоже как то работает. насчет 0x3e8 - пасип, обязательно проверю...
не, для w2k там его нет вообще. ;) там есть SectionHandle. но он иногда невалидный, (иногда просто равен 4 - очень часто, а иногда - 0x3e8)
мне проще так - запуск сервера на той машине, где VmWare запущена (к ней, соответственно, настроен доступ через пайпу) - kdsrv -t tcp:port=PORT...
0. Получить EPROCESS по PID - PsLookupProcessByProcessId 1. Получить объект секции. для хр и далее - SectionObject присутствует в EPROCESS,...
Всем привет. Хочется определить (в драйвере) по file_object, является ли файл папкой рабочего стола. (как например "C:\Documents and...
да, правильный путь - парсить РЕ заголовок, брать оттуда смещения секций, складывать с имеющимся адресом модуля в памяти, и искать в секции... Все...
8067f000 - там начинаеться первая выгруженная страница... мда, раз кода нет - то и искать там нечего... можно перебрать секции и проверять...
Имена участников (разделяйте запятой).
