WriteFile обязательно требует, чтобы параметр lpNumberOfBytesWritten указывал на доступный на запись адрес, NULL тут недопустим.
Приведи полный код создания девайса и линка, тогда и посмотрим.
Млин, народ, че вы мучаетесь? ZwQueryInformationProcess рулит. function GetProcessId(pHandle: dword): dword; var Info:...
4) Изменение ACL процесса. 5) Сплайсинг PsLookupProcessByProcessId 6) Удаление записи о процессе из PspCidTable 7) Перехват юзермодных апи...
Для решения этой задачи есть несколько методов: 1) Чтение файла через Shadow Copy Provider. Работает только на NTFS и только если включена...
Тогда тебе нужно перечислять девайсы в \??\ (ZwQueryDirectoryObject), там будут символические ссылки с именами c:, d: и.т.д. (вместо перечисления...
Наверняка ты не сразу получаешь имя, а имеешь еще хэндл файла или FileObject, тогда VolumeDeviceObject = FileObject->DeviceObject
Не, искривления извилин для этого недостаточно. Нужен врожденный дебилизм самой страшной степени :)
Если речь идет об оутпосте, то после создания процесса он разрешает записать в него со стороны не более 16 байт, а иначе кричит ахтунг. Между тем...
GetProcAddress может и будет, а LoadLibrary точно нет. Да и нет разницы, каким образом получен адрес функции, все равно она работать не будет....
Запуск полноценного потока с помощью ZwCreateThread не такое легкое дело, как это может показаться сначала. Собственно сам поток запустить будет...
Повторно привожу код обработчика ZwQueryDirectoryFile (если его опять не удалят). [img] 1313835063__fhide.txt
mix_mix Потрудитесь пожалуйста объяснить что такое , и почему она есть в линуксе и ее нет в Windows NT? А то я плохо понимаю смысл ваших слов.
Безпощадный даос Зачем код удалил? Постингом кода я не нарушаю ни одно из правил форума. vns955 InitializeObjectAttributes это не...
Блин, а чем обычные апихуки не катят? Это просто реализуется в драйвере и надежно работает. Приведу даже код обработчика ZwQueryDirectoryFile...
Все GDI функции экспортируются через Shadow SDT из драйвера win32k.sys. Можно найти их и вызывать из драйвера напрямую. Но разница в...
Если правильно реализовать, то сработает. И эта техника давно уже используется, но только не в целях защиты, а наоборот :) Но на каждую хитрую...
Имена участников (разделяйте запятой).
