Это метод недзенский :) Он с успехом заменен сканом PspCidTable.
Ссылка есть только одна - http://www.google.com/ и она подходит на все случаи жизни. Советую почаще ей пользоваться.
Если ты открыл какой-то девайс, то имеешь указатель на FileObject. FileObject->DeviceObject это самый нижний девайс в стеке,...
Так как перехват идет в ядре, то о модулях ядра. Как раз то. Вот пример кода получамющего эти номера: PVOID GetInfoTable(ULONG...
Значит ждем статью посвященную этой теме. Если нк нужна скрытность, и необходима стабильная работа, то лучше KeServiceDescriptorTable ничего...
В легальном софте (тем более коммерческом) такие приемы как патч системных файлов на диске вообще недопустимы. Если ты пишешь коммерческую...
Насколько я понял, ты пишкшь трояна. Тогда зачем тебе нужна основная программа? Не проще ли все сделать в длл? Каким образом? Простым ее...
Метод хренов тем, что при установке апдейтов/сервиспаков придет капут такому перехвату. И чем тебе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows...
А от этого применяются другие методы защиты. Я пользуюсь программой которая контролирует запись в память чужого процесса, загрузку драйверов,...
Наконец то нашел время закончить статью "Обнаружение скрытых процессов". Так как Эд сейчас в отпуске, то здесь статья еще нескоро появиться, а...
По умолчанию - PASSIVE_LEVEL. А IRQL в конкретном участке кода зависит от того, где он исполняется (в обработчике прерывания, DPC и.т.д)....
Ты внимательно в статьях посмотри. Там есть все что нужно на эту тему.
А надо ли вообще этот геморрой? Если нужно передавать приложению события происходившие до его запуска, то веди в драйвере их список. Как...
А ты создай неименованый евент в драйвере (выдели память и сделай KeInitializeEvent), а приложение пусть делает IOCTL запрос, по которому драйвер...
Компилишь на Turbo Pascal в DOS приложение чтоли? Тогда нечего ожидать, что винда пустит тебя к портам ввода-вывода. Тебе надо компилить в 32...
Чудес не быват. Мне кажется, что это просто дрова карточки к ней пробуют обращаться. Чтобы сказать что-то точнее, надо код поглядеть.
http://www.google.com
IoConnectInterrupt регистрирует обработчик прерывания, а не вызывает прерывание. А насчет того, какую ерунду туда пихать, смотри DDK и ищи в...
как вызывать приревания я не знаю, а прерывания вызываются так: int 1 или int 2Eh
Есть еще один выход - создать тулзу на любом неизвестном ранее способе обнаружения (пусть даже легко обходимом), и сделать ее приватной. Пока...
Имена участников (разделяйте запятой).
