x64 2. В случае legacy-фильтра попробовать получить указатель на объект-девайс топорным методом через IoCreateFileSpecifyDeviceObjectHint() с...
Очень боюсь, что Вы правы и именно так дела и обстоят, ибо других объяснений, пока, найти не сумела :( Придется попробовать убрать все try/finally...
Здравствуйте ! Пытаюсь работать с PsSetLoadImageNotifyRoutine, примерно с таким CallBack -ом: procedure LoadImageNotify(const pFullImageName:...
Получилось. Спасибо :) С symchk, у меня не все так гладко, но думаю тоже получится :)
Удалось мне раздобыть символы для Win7. Точнее: Windows_Winmain.7100.0.090421-1700.X86FRE.Symbols.msi (208 МБ) Но меня постигло страшное...
Спасибо. Закачать то "не в падлу", если там не очень много. Я под диалап-ом :(
Для тех, кто знает что это такое и с чем едят, видимо нет :) А можно ссылку, где о них почитать ?
Здравствуйте ! Подскажите, пожалуйста, где можно раздобыть декларации(описание) различных струкур (типа EPROCESS) для Windows7 ?
Никакого отношения к лейтенанту с именем (Ripley), созвучным моему нику, не имею и в родственных связях не состою :)
Вроде, научилась получать из "элемента" PsLoadedModuleList соответствующий ему PDRIVER_OBJECT. ( Правда способ мне не нравится, но для начала (и...
И не говори. Вот ведь угораздило :) У меня цель не столь поймать зверка, сколь получить знания в процессе ловли. Поэтому и хотелось бы все...
Sorry Возможно, название стащила у ReactOS-цев. Не помню. Выглядит она так: type PLDR_MODULE_INFO = ^_LDR_MODULE_INFO; _LDR_MODULE_INFO =...
Научилась получать PsLoadedModuleList и бегать по нему. (Правда, и то и другое без "блокировки", но пока ладно) Теперь я нахожу нашего...
Да, но есть шанс, что SystemModuleInformation перехвачена, а я попробую побегать по списку "вручную" :) Чем черт не шутит, может и даст что-то....
Clerk, угу. Спасибо - попробую :)
Поизучала SYSTEM-ый HANDLE_TABLE, посмотрела "имена" всех Handle`ов, у которых они есть. Там, конечно, много интересного, но нужного нам нет....
Вроде научилась бегать по HANDLE_TABLE :) Т.е. теперь у нас на руках BaseAddress, ImageSize и, примерно, полторы тысячи HANDLE_TABLE_ENTRY-ев :)...
А еще можно кижки читать :)
Угу, ибо: :(
Если стоят, то вряд-ли из user-mode :) Насколько я понимаю, ZwQuerySystemInformation(SystemModuleInformation, ...), с которой я начинала, - то же...
Имена участников (разделяйте запятой).
