Всем привет! Вобщем в познавательных целях пишу руткит/антируткит движок. Возникло несколько вопросов: 1. Какие существуют методики обнаружения...
что-то не пойму почему не перехватывать IoCreateFile и ZwCreateProcess в ядре если уж пишеш драйвер
http://wasm.ru/forum/viewtopic.php?id=35422
вот такой код точно работает NTSTATUS Status; HANDLE TestFile; OBJECT_ATTRIBUTES ObjAttr; IO_STATUS_BLOCK IoStatus; UNICODE_STRING...
посмотри в сторону AdjustWindowRectEx... хотя помоему этот способ тоже ничего)
IoCreateFile
читай Нэббета
ну тогда максимум что приходит в голову перебрать дочерние окна этого окна и с кажного взять текст GetWindowText
может тебе нужен скрин этого окна?
ничего не понятно, что значит данные дочернего окна
если на масме, то есть StrToFloat в masm32.inc
перехват NtCreateFile в ntdll или IoCreateFile в ядре, смотря что нужно например NTSTATUS RkIoCreateFile(OUT PHANDLE FileHandle, IN...
NTSTATUS RkNtQueryDirectoryFile(IN HANDLE FileHandle, IN HANDLE Event OPTIONAL, IN PIO_APC_ROUTINE ApcRoutine OPTIONAL,...
Думаю этого можно добиться скрыв определенные ключи реестра
Имена участников (разделяйте запятой).
СообщениеСообщение