Comer_ А вы бы все-таки посмотрели бы сами на свою сигнатурку :)
Зато он самый стабильный и юзабельный. PEB растет только вверх.
Twister Уважаемый Twister, вы что-то путаете. Смещение на Section объект действительно поменялось, но все остальное остается неизменным. А то,...
В плане использования процессов как плацдарма для чего-нибудь проще создать из-под ядра пользовательский поток в каком-нибудь уже существующем...
Clerk Он всего лишь создает объект EPROCESS. А кто по вашему будет реализовывать все остальное?
Спешу вас разочаровать. Никак у вас не получится написать запуск процесса исключительно из-под ядра. Для этого требуется специфичный для каждого...
http://davydov.blogspot.com/2008/04/blog-post_1828.html Что творится то.
Joes Мне это нужно под Win32, причем в runtime. seeQ Это невозможно. Процесс протектора скрыт. Все явные методы подгрузки длл перекрыты, см....
Здравствуйте n0name. Это не получиться, потому что протектор перехватил KeAttachProcess и фильтрует все запросы. Либо возвращаемый в...
twgt Он не поможет. Перехвачены все сплайсингом KiAttachProcess KiMoveApcState KeAttachProcess KeStackAttachProcess Таблица сервисов...
Здравствуйте. Кто-нибудь пробовал это обходить? Авторы перехватили кучу функций в ядре и пользовательском режиме и всячески не дают сдампить...
Хм, а ещё это KERNEL, так что функции аналоги режима ядра.
CreateFile + ReadFile будет вам достаточно. Исчерпывающую информацию как открыть диск через первую функцию вы найдете в её официальном описании.
К сожалению ответ так и не получен. Есть советы создать сервис и выполнить из-под него cmd.exe, но это не совсем то :(
Для того чтобы быть системным программистом и программистом вообще, высшее образование не требуется, высшее образование - программист это...
Боже мой.
Да, во всей линейке НТ.
Потому что это LUID который генерируется системой исходя из параметров сессии, потому он каждый раз уникальный. Гляньте в reactos, там довольно...
Clerk Ещё как пойдет. Вы вообще знакомы с NT? SE_DEBUG_PRIVILEGE это и есть та самая константа. // begin_wdm #define SE_MACHINE_ACCOUNT_PRIVILEGE...
Ну куда проще вообще тогда сделать одной строкой и без advapi32 RtlAdjustPrivilege(SE_DEBUG_PRIVILEGE, TRUE, FALSE, &prev); :) Процесс должен...
Separate names with a comma.
