im1111 Большое спасибо за пояснение. Теперь почти все понятно. Вот только по поводу обхода все же не совсем ясно:
Тогда если у каждого списка процессов свой список хэндлов - то почему в списках какого то чужого процесса будет скрываемый процесс??? И тогда...
Прочитал статью "Обнаружение скрытых процессов" и возникло несколько вопросов по поводу "Получение списка процессов просмотром списка таблиц...
На то он и PageFault - появляеться внезапно и грубо и фиг каким try/except защитися. У меня заработало!!! По совету Great я перепроверил все...
спасибо, Great, произвел изменения: typedef int (__stdcall *customAtoi)(const char*); NTSTATUS __stdcall DriverEntry(IN PDRIVER_OBJECT...
Я проверяю - там не ноль точно. Я в дебаг все вывожу. Это урезанная версия, результат правльный функция дает. Вылетает после DriverEntry....
Второе ядро я загрузил затем что мне нужны копии кода некототорых функций из ntoskrnl.exe. Имя я не менял - гружу как файл ручками и настриваю...
Мучаюсь целый день с одной ошибкой - в DriverEntry загрузил ядро с диска , настроил релоки(таблицу импорта не трогал). Нашел адрес функции atoi и...
получаеться нельзя скопировать загруженное ядро целиком?
Ну вот :( Придеться похоже с диска читать. Great большое спасибо за то что помог разобраться, к сожалению ничего кроме спасибо предложить не могу :(
Да, именно она.... Старнно получаеться - ядро может быть загружено не непрерывным куском памяти?
Мне нужна полная и точная копия ntoskrnl загруженного в память. Вот собственно стек вызовов: LAST_CONTROL_TRANSFER: from 805328e7 to 804e3b25...
Конечно не смотрел, я же beginner.... Вот теперь посмотрел: PAGE_FAULT_IN_NONPAGED_AREA (50) Invalid system memory was referenced. This cannot...
Имена участников (разделяйте запятой).