в реестр можно что угодно прописать.
Повторяюсь там 8 байт, MBR не причем
Вообще-то GetVolumeInnformation возвращает метку тома а не ID. Реальный ID диска получить можно только через DeviceIoControl. Больше никак в...
Если уж перехватывать сплайсить и прочей мурой заниматься - то как я сказал в юзермоде проще и безпалевней. send - recv -уходят в WSASend -...
Здесь оптимальный вариант - перехват сокетов, непосредственно перед NDIS (NtDeviceIoControlFile)
а зачем? SYSTEM_BASIC_INFORMATION sbi; DWORD retlen=0; NtQuerySystemInformation(SystemBasicInformation,&sbi,sizeof(sbi),&retlen);...
VEH метод Clerk'а довольно не плох, если еще мозгами дошевелить. Но наэмуляторах от MS все равно у меня "палится" пока что.
А чего Browse не работает? И запакован сам собой что ли? Дампится сразу кстати. (XP SP3)
Судя по количеству билдов в абауте - вещь :)
можно погуглить на типа _stdcall ...........
NtYieldExecution это типа Sleep(0) void WINAPI NtSleepEx(DWORD DurationMs,BOOL Alertable) { struct { DWORD Low; DWORD Hi; }...
пересобирите в оболочке студии с явно указанными опциями. возможно http://rootkits.su/viewtopic.php?id=808
Уважаемый тов. Clerk так какой метод наиболее продвинут, о котором естественно наверняка тут не указано ( ;) ) ?
скорее всего /entry:"DriverEntry" - для линкера
csrss, или в ядре хотя бы PsSetCreateProcessNotifyRoutine
в сторону того кто загружает кодеки или avstream
Мультиметром мониторьте напряжения, в чем вопрос-то?
ядро также экспортирует _except_handler, с эксцепшнами вопросов быть не должно
Что помнится в сторону реестра копать надо, только по ключ. фразе "повысить пропускную способность...
тогда уж и NtCreateProcessEx перехватывайте
Имена участников (разделяйте запятой).
