бред - понял, исправлюсь :) Но тем не менее это не отрицает возможности использования sysenter вне KiFastSystemCall, верно?
Вы абсолютно правы, нужно лишь учитывать, что KiFastSystemCallRet на самом деле представляет из себя только одну инструкцию - retn, и нужен он в...
<irony>Тогда уже для int 2e хукаем KiIntSystemCall.</irony> Это всё немного не то, KiFastSystemCall внутри выглядит просто: mov edx, esp и...
Это понятно, просто юзеры сами системных вызовов не делают :) Мне это показалось забавным. Вопросов нет. Но это драйвер. А речь о user mode.
Позвольте, но Вы говорите о весьма и весьма странных юзерах :-) Те, которых я знаю, даже слов таких страшных не слышали.
Если он не устанавливает драйвера, и моя тестовая программка, создающая файлики с помощью syscall-а, отследится нормально, то я его пореверсю....
Очень и очень замечательно. Спасибо за наводку, TSS, буду копать в этом направлении. Если будут какие-то успехи либо наоборот, неудачи, я тут...
Ооо, это уже лучше, ближе к цели. Но подозреваю, что обработчик должен всё равно находиться в kernel space. Или тоже нет? (скрестил пальцы)
Вот некто blast ответил, что из usermode никак syscall не перехватить. Но так ли это на самом деле? Ведь остается еще как минимум динамическое...
А если проблема? Т.е. у меня изначально цель создать сэндбокс, который был бы способен грузить "обернутое" приложение, требующее прав...
Представь ситуацию, где мне нужно sandbox перенести на другую машину, на манер portable application. На другой машине тогда придется тоже патчить...
Дык тогда уже патч win32k.sys. ntdll.dll ведь по сути является оберткой вокруг sysenter-ов, и некоторые хитрые приложения, которые (ошибочно)...
Привет, WASM. У меня следующий вопрос — возможно ли в принципе перехватывать инструкцию sysenter из под winxp, если оба процесса (и перехватчик,...
Имена участников (разделяйте запятой).
