NtSystemDebugControl и список процессов

[deleted]

 

ну все что тебе надо знать это

SysDbgReadVirtualMemory = 8,

и смещения в EPROCESS. Так что в чем проблема? =)
Проблема может тока получить сначала произвольный блок EPROCESS, чтобы потом пройтись по списку. Можно сделать так: получаешь по адресу FFDFF000 KPCR, из него извлекаешь CurrentThread, а оттуда владеющий тредом процесс. И проходишь по списку

 

Зачем это делать если указатели легко можно получить из 3х подряд идущих EPROCESS ?

 

tylerdurden
хм как ты из юзермода узнаеьш просто так адрес хотя бы одного епроцес.
хотя стоп - при перечислении хендлов в системе там есть поле Object с указателем (кернелмодным) на объект... можно открыть процесс любой, найти его хендл и указатель на объект..

 

[deleted]

BHC - forever

 

я это и предлагал.
зы. учти, что NtSystemDebugControl палится некоторыми проактивками. Хотя, удивительно, что не всеми

 

Это было на спор, а не в троянописательских целях