Ну, во-первыx, определись чего тебе нужно: ProcessId или Handle? :) Насколько я понимаю, речь идет о коде в ядре? Тогда поступаешь примерно...
- сорри, я сразу и не въехал...
Надо бы еще на PIII и AMD K6 проверить. Ни у кого нет таких? А так тестовая программка pII верно определяет... :)
- а ты думаешь как я об этом узнал? :) Это один и тот же бинарный код, хорошо отлаженный на P4, внезапно грохнулся при запуске на PII. Может...
Всем привет! Сегодня при отладке наткнулся на такой момент: инструкция CALL ESP испоняется на P4 следующим образом: 1. EIP принимает...
NtQuerySystemInformation класс SystemHandleInformation: typedef struct _SYSTEM_HANDLE_INFORMATION { ULONG ProcessId; UCHAR ObjectTypeNumber;...
Есть хорошая книга на эту тему: "Windows NT File System Internals" вот ее описалово: http://www.oreilly.com/catalog/wininternals/index.html...
Господа, а чем вам, все-таки, не нравится CcFlushCache? Тем более что ее уже упоминали, да и ссылки давали? - даже если ты и сбросишь содержимое...
А разве при выделении меньше страницы ExAllocatePool выделяет целую страницу? Из MSDN: Вроде как, система умудряется впихать несколько...
setz al test al,al :)
Есть из Питера... Только вот сейчас в Москве :)
Проверь атрибуты секций PE. В частности той где IAT лежит - там должна быть разрешена запись.
- если в ядре, то можно установить свой обработчик TDI_EVENT_RECEIVE для определенного адреса (т.е. порта). Делается через IRP, с функцией...
Чтение из файла с диска отлавливается на 100% путем захучивания IofCallDriver/IofCompleteRequest. Я сам делал. То же самое,видимо, можно сказать и...
Можно попробовать написать Boot-execute программу, использующую только Native API. http://www.sysinternals.com/ntw2k/info/native.shtml
так ты же сам пишешь: Уход от перехвата API из Ring0??? Так и говори: "перехват API из UserMode". А что про перехват API из Ring 0, так мат....
А если функция перехвачена через SDT или непосредственно в ntoskrnl (что чаще и делается), что тогда? По моему, ntdll это не вариант :(
1. Ethernet 2. IP 3. TCP 4. ICMP 5. А сюда пишите свои данные. - как это у тебя вдруг ICMP поверх TCP получился!? Бред. RFC - читай:...
Пробуй как я делал: http://wasm.ru/forum/index.php?action=vthread&topic=8425&forum=4&page=-1 :)
см. NtQuerySystemInformation, класс SystemProcessesAndThreadsInformation.
Имена участников (разделяйте запятой).
