BORYAK Можно попробовать в джине похучить че-нить. Но там я не уверен нащет рун-аз Здесь точно 100% попадание
coocky на одном ntdll далеко не уедешь, думаешь остальные либы зазря пишут? :)))
для каждого процесса винда сама создает дефолтный хип (см.GetProcessHeap) он растет пока есть вирт.память другие хипы создают для: 1) быстрого...
l_inc хоть тушкой хоть чучелком :)))
BORYAK понятно, драйвер здесь не нужен пишешь свой Authentication Package, как здесь расписано...
BORYAK так тебе ЛогонСессии или "вход и выход" открытие-закрытие ЛогонСессий я ловлю в драйвере точнее закрытие документированно ловится через...
че-то большой он у тебя :) http://www.wasm.ru/forum/viewtopic.php?pid=147994#p147994
nester7 Cтописят раз уже этот код обсуждался. ExitProcess вызывается _раньше_ чем ThreadProc !
l_inc примари тред блин - это я врубаюсь, основной - не-а, извиняйте
l_inc не поверишь - но я оллидбг ни разу не использовал за всю жызнь софтайса и виндбг хватает с головой че она там пишет в каком-то окне мне по...
Marik я с децтва щитал что это FILE_CREATE в Disposition цытата: IrpSp->Parameters.Create.Options Bitmask of flags that specify the options to...
l_inc нету такого. стартовый поток (тот что в PROCESS_INFORMATION) после создания любого другого потока безболезненно для процесса убивается....
Lex2029 ты эта ... полегче, никто тебе ничего не должен! хотит народ поржать - имеет полное право
Marik IrpSp->Parameters.Create.Options & FILE_DIRECTORY_FILE есть одна тонкость - при создании директория этот флажок стоит всегда а вот при...
UTeX теоретически - да на практике фильтр на файловую систему даже детачить, не то что выгрузить, не удается дома поиграться - сойдет, в...
на DC ваще-то полиси другие совсем см. mmc.exe -> add snap-in -> GPOeditor -> DefaultDomainControllerPolicy -> ComputerConfiguration ->...
Great ХЗ. у меня этих двух строчек ваще не было пока тестировали в 2к и 2к3
и еще - я заменил доставание имени (IoAllocateIrp() и так далее) через PFILE_NAME_INFORMATION NameInformation; на все то же самое но через...
сталкивался FastIoQueryOpen *next_stack = *curr_stack; next_stack->DeviceObject = hook_extension->next_device; IoSetNextIrpStackLocation( Irp );...
masharabinovich там один call до ентри пойнта :) context.Eip - это BaseProcessStartThunk все импортные DllEntry отрабатывают DLL_PROCESS_ATTACH...
Имена участников (разделяйте запятой).
