Вот что касается PE checksum: это я использовал в одном вирусе, сейчас уже не вспомню где взял описание алгоритма. Однозначно работает под NT...
Значит так... 1. Для запуска драйвера необходимы всего две секции: код и relocation. Названия секций роли не играют. 2. В импорте...
я тут нарыл кое чего еще: первое: - патчим файл так, чтобы запуск производился ПОСЛЕ всего этого. - ServiceMain вызавается несколько раз....
Приветствую всех,братья по разуму :) Вообщем задача такова: пропатчить файл одной из служб NT/2000 таким образом, чтобы при запуске этого...
- разве??? Я борюсь с WFP следующим образом: вешаюсь на NtNotifyChangeDirectoryFile - в процессе Winlogon из SFC.DLL переодически вызывает эту...
Можно сделать. Я делал в свое время такой драйвер: висит на IofCallDriver/IofCompleteRequest записывает весь IRP траффик для указанного драйвера в...
- а почему бы не написать программку-эмулятор этого "хитрого" 286 -го и на нем уже дебагить свои проги?
Кроме ObReferenceObjectByHandle, если не хочешь лишний раз reference этот самый файл можешь поизвращаться с ZwQuerySystemInformation класс...
Забудь про NtDll.dll. Используй ZwSetSystemInformation из ntoskrnl. Там есть подкласс позволяющий грузить DLL.
Всё. Проверил. CcPurgeCacheSection - работает так как надо. Four-F Спасибо за идею!
PavPS Касательно флагов: FILE_WRITE_THROUGH - требует немедленной записи на диск, т.е. отключает lazy-write для конкретного файла, кэш при...
По поводу NtFlushBuffersFile: маленькая прога: call NtCreateFile ; получили handle FILE_READ_DATA+FILE_WRITE_DATA call NtReadFile...
При открытии+чтении файла NT кэширует его содержимое так, что последующие запросы на чтение фактически получают содержимое кэша а не физического...
Имена участников (разделяйте запятой).
