Всем привет. Попробовал тут посмотреть адреса экспортируемых функций модуля ndis.sys. До и после перезагрузки ОС адреса одни и те же. Скажите, они всегда статические и различаются в разных версиях ОС? И если да, то могу заменять похученные функции в ndis.sys на реальные, которые могу получить на такой же системе, но где таблица экспорта модуля ndis.sys еще не подправлена?
эт потому что он грузится по одному и тому же адресу) что за изврат? читай файло с диска и восстанавливай. скорее всего будет bsod.
это вирус? тогда можно получить адреса функций из импорта файла - по идее защита не должна их сплайсить в памяти, для FW это грязный хак - и вызывать/сплайсить по этому адресу. если не вирус, то уж лучше попытаться загрузиться раньше всех, а восстонавливать что-либо - очень плохая идея.