Пытаюсь найти ServiceDescriptorTableShadow анализом кода функции KeAddSystemServiceTable на предмет инструкции lea ecx,...
Да с чего оно должно рухнуть? Может я не совсем правильно выразился. Геморойность не в реализации. Сам метот "черезжопный"...
Да, вот эта тема http://wasm.ru/forum/viewtopic.php?id=21142
l_inc Все зависит от рук... ;) Гораздо проще и геморойнее... Жалко 4кб чужого АП? Почти в тему: http://vbstreets.ru/VB/Articles/66169.aspx
В юзермоде без помощи постороннего кода (который будет исполнятья после завершения твоего процесса) это в общем случае сделать нельзя. В ядре есть...
Чтоб поиск был легче: Простейший вариант - запускается программа, внедряется код в АП любого доступного процесса и ждет завершения основной...
GDT - Global Descriptor Table - глобальна. Другое дело LDT. IDT тоже глобальна для системы. Ну а каталоги старниц, описывающие АП свои у каждой...
Прикольно... :) Вообще, если чел занимается написанием дров, то он должен их как-то отлаживать. Не знаю как дебуггер мелкомягких (не юзаю), а Айс...
А можно подробнее?
ZwQueryInformationProcess
Я думаю автор задумал что-то вроде перехвата сплайсингом юзермодного кода с помещением обработчика в ядро. Но что-то сильно пахнет гемороем...
KondraT Можно почитать http://wasm.ru/article.php?article=peinfector. А еще советую под рукой иметь мануал по PE-формату от Hard Wisdom (правда...
В первую очередь копать необходимо в сторону орфографического словоря... ;) А вообще, мало ли что там. Стек может рушится. Ты код лучше бы показал.
Это код под ДОС. Делай выводы.
Что было бы, если каждый кулхацкер мог бы из ринг3 такое вытворять? Один из возможных способов тебе уже назвали.
Это ты про юзермод чтоли? Конечно нет.
Да, забыл рассказать об опыте: касаемо модерирования - как говорили некоторые, модер из меня выходит отличный, строгий и справедливый (а главное...
Как раз-таки факт. На этом основан один из способов перехвата.
Много ли таких прог? Тем более, если прога работает именно так, то о какой блокировке файла говорить?
Покажи код DriverEntry Немного рекламы - http://twister.orgfree.com/projects/kmdmanager_v1.4.rar
Имена участников (разделяйте запятой).
