Доброго времени суток. В статье Ms Rem - Обнаружение скрытых процессов описывается метод листы планировщика. Все понятно кроме одного что такое WaitProcOffset, что это за смещение? В чем? И еще такой вопрос как применить статью к w2k3, там описанные методы не работают? У каго какие мысли?
Советую почитать статью 90210, "Bypassing Klister 0.4 with No Hooks or Running a Controlled Thread Scheduler". работают, только листы планировщика по другому полчать надо.
Нифига не ясно. Можно объяснить на конкретном примере - статье Ms Rem, откуда он взял этот WaitProcOffset?
Вот так наверное: Из исходников видно, что для Win2k WaitProcOffset=1D0h Item-ETHREAD.Tcb.WaitListEntry+ETHREAD.ThreadsProcess Для Win2k: Item-6Ch+22Ch => Item+1D0h Для WinXP: Item-60h+0220h => Item+1C0h
Неа, Item-ETHREAD.Tcb.WaitListEntry+ETHREAD.ThreadsProcess Item-5Ch+22ch => Item + 1D0h а для XP правильно GMax сказал Прикольно, странно что автор не написал про это в статье.
GMax Toney Вы мои герои!! Точно же блин это же лист шедулера. Во я тупой! Спасибо, тема закрыта, статья рулит!
