да, этим. только ничего умнее, чем тупым сравнением участков памяти не придумал..
x64 ога. а что ты подразумеваешь под анализом пула? :)
Folk Acid сэм был к тому, что на него есть хендл, а на $мфт нет.
Спасибо! Штука в том, что винда рабоает с \$Mft через файловый кеш, потому сделанные на томе изменения не будут видны до перезагрузки. Начал...
AntiFreeze эм.. а что за glags? :)
Спасибо, ребята. Отпишусь, как разгребу.
x64 файлы $Mft и ей подобные открыты, для них созданы FILE_OBJECT'ы и они активно используются системой. они весят в кеше и отличны видны командой...
x64 Ух ты... Но система же должна как-то однозначно определять или я чего-то очень не понимаю?
x64 Понял насчет хендлов. А как найти FILE_OBJECT?
разбирал статью Ms-rem'a [ http://www.wasm.ru/article.php?article=lockfileswork ]. для kernelmode: PVOID GetInfoTable( ULONG ATableType ) {...
Это описание ф-ии: http://www.geoffchappell.com/viewer.htm?doc=studies/windows/km/hal/api/x86bios/call.htm
к слову сказать, а где эмулятор-то? :)) ты имеешь ввиду x86BiosCall?
а что за эмулятор?
Касперски, http://www.insidepro.com/kk/020/020r.shtml
Имена участников (разделяйте запятой).
