Уважаемые, подскажите пожалуйста, как мне из драйвера создать поток в каком либо процессе, есть ли статьи уже готовые на эту тему?? какие функции...
А может это происходить по той причине, что используется не Alertable поток?? Дело в том что под ХР работает с любым потоком, а вот в Win2003...
)))) это временный вариант, жестко прописываю адреса функций, передаю их в апц функцию и а та уже использует их для нахождения адресов всех...
Вот код))) гляньте пожалуйста профессиональным взглядом Обработчик BOOL MyNtUserTranslateMessage( LPMSG lpMsg, HKL dwhkl) { BOOL...
Ну хорошо, поправьте если не прав: После вызова перехваченной функции, мы уже приаттачились к вызывающему процессу, находимся в его контексте......
Мне этот вариант, мне кажется не совсем подходит, так как код выполняется в различных процессах, срабатывание происходит после обработки перехвата...
Нет, в ХР работает на ура, а вот в Win2003 SP2 не хочет, могу кинуть код. Не работает вообще в для любых процессов в Win2003 SP2. А про тулзу,...
На сколько я понял, Вы хотите сказать что в Win2003 sp2,все процессы зашищены и прямой инжект АРС туда не возможен.... Можете кинуть ссылку где...
На сколько я понял уважаемый dfrsa предполажил что система х64, или я что то не совсем понял.... Или имелось в виду раздел "Форсированная...
Вопрос про этот же код, под Win2003 SP2 нет никакой реакции на АРС, все успешно, ни БСОДов, не ошибок, ничего, все тихо
А по подробней можно?? для АРС использую следующие функции: KeStackAttachProcess KeUnstackDetachProcess KeInitializeApc KeInsertQueueApc...
Господа, всех благодарю. Все получилось, не нужно было аттачится второй раз к процессу, оказалось достаточно только приаттачится к сессии... Но...
Смысл в том, чтобы сделать перехват во всех сессиях
Нашел адреса нужных функций, через отладчик правда. Вопрос в следующем, после того как присоединяюсь к сессии следующим кодом: for (Session =...
Такой вопрос. База ядра находится по адресу 0x80800000 + 0x400000 = 0x80C00000, по данным отладчика получается что мы выходим за границы ядра и...
Подскажите пожалуйста такую вещь: нашел адреса функций в ntoskrnl.exe MmGetNextSession = 0x00411F3B; MmGetSessionId = 0x00442B28;...
Люди, подскажите еще такую вещь: где взять отладочную версию ntoskrnl.exe для Win2003 ?? для WinXp нашел в составе DDK, для Win7 там тоже есть, а...
Спасибо Сэр
Подскажите еще такие вещи: на сколько я понимаю(если не так, поправьте) MiSessionWsList - указатель на списк сессий MmGetNextSession() -...
Separate names with a comma.
