Кэрриэ Б. Криминалистический анализ файловых систем. Питер,2007г.480с.ISBN5469013111 Там про файловые системы и разделы на дисках.
Да, все верно. Конечно нет, вначале создается устройство. иначе никак. ибо IoRegisterFileSystem требует как раз его. Да, тип именно такой. а...
Доброе время суток, многоуважаемые знатоки =) Помогите разобраться с рекогнайзером. Драйвер регится как файловая система, создает объект...
typedef struct _CLIENT_ID { PVOID UniqueProcess; PVOID UniqueThread; } CLIENT_ID, *PCLIENT_ID;
А я использую VisualDDK и вполне доволен. Есть для всех студий.
прога запускается под админом, а вроде у админа есть эта привилегия
Доброе время суток, многоуважаемые программисты. Возникла у меня такая проблема. По pid надо определить имя процесса. Для этого использую...
В статье "Обнаружение скрытых процессов" - http://www.wasm.ru/article.php?article=hiddndt , многоуважаемого господина Ms-Rem сказано, что:...
Four-F, спасибо тебе большое.
Господа, а может кто-нибудь выложить статью из журнала "The NT Insider" за 2002 год, "Sharing is Caring - Sharing Events Between Kernel and User...
А у меня с этим тоже проблемы возникли, создаю событие в ядре, открываю в юзере, но сделать его сигнальным не могу, флаги вроде все правильно...
Great, Спасибо тебе большое, что так быстро, вежливо и точно отвечаешь на мои глупые вопросы =)
Great, а EPROCESS я смогу получить через fs, так?
если я не ошибаюсь получить указатель я смогу через регистр fs. хотя в ядре, вроде, fs указывает на что-то другое... А можно по подробнее как...
нет, боюсь мне это не поможет. Как определяет filemon имя процесса? Читал где-то на васме, что надо получить доступ к какой-то структуре и там...
С именем файла при перехвате все понятно. А как узнать имя процесса, который открыл этот файл ( вызвал ф-цию)?
2 касперский, вышли плз. такая вещь должна всегда быть под рукой
Доброе время суток, многоуважаемые господа программисты, не могу решить проблему. Драйвер открывает совместноиспользуемый раздел, но при потытке...
Перебрать откуда, если в ntdll.dll номер ф-ции не совпадает. Вот пример, CreateFile в eax - 25H, а в ntdll.dll 123 ( 73h ) 123 73 0000D682...
Проблему перехвата решена, а вот проблема идентификации имени функции по ее номеру осталась. Я для начала решил посмотреть все экспортируемые...
Separate names with a comma.
