Вот, накидал небольшую программку, которая показывает список процедур уведомления и позволяет их по выбору "обезвреживать". На данный момент...
Одно точно скажу - если функция failed, то return value действительно ноль... ;)
EPROCESS, как ты знаешь, разный для 2000, ХР и 2003. Все есть в KmdKit. Вот для ХР:EPROCESS STRUCT ; sizeof = 258h Pcb KPROCESS <> ;...
Да какая разница, C++ это или VB? Повторюсь, не от языка зависит, а от рук.
ECk Спасибо. То что нужно. http://www.securitylab.ru/analytics/254727.php
Я, просто, немного "не с того конца" задал вопрос. ИМХО, у данной методики есть не одно применение. Одно из это, как уже заметил Cr4sh, перехват...
Просто даже если начать ковырять ядро - я даже не знаю, собственно, в какую сторону рыть-то...
Вариант с DLL интересен. Но опять не то ;) Меня, в частности, интересует взгляд из ядра - где, например лежит список ProcessNotifyRoutines? Можно...
Не, внедриться проблем нет. Дело в самом принципе - можно ли запустить процесс так, чтоб о факте его запуска ни кто не пронюхал?...
Как бы хорошо не был скрыт процесс, а ProcessNotifyRoutine все равно выдаст его запуск. Возможно ли этого избежать?
Интересно как и с какими флагами этот хэндл?
Что-то не догнал я. Может EPROCESS? ObReferenceObjectByHandle(hProc,0,0,KernelMode,&eprocess,NULL);
Писать ShareWare можно хоть на PHP. Главное знать, что делаешь.
Может он подскажет...
Код ms-rem для отключения HDD: asm mov al, $0E6 mov dx, $1F7 out dx, al ret end;
Freecod Restorator, к примеру, умеет это делать...
У меня стоит KAV 6.0 Открываем ProcessExplorer, смотрим на хэндлы процесса csrss - там НЕТ хэндла KAV! Если бы он там был, что бы тогда помешало...
nitrotoluol Не пробовал пока, но закрадываются смутные сомнения. Даст ли Кашперский доступ к /Device/PhisycalMemory ?
Хэндла KAV в csrss теперь нет - под отладку не возмешь... :(
C того, что такой программы до сих пор никто еще не сделал...
Имена участников (разделяйте запятой).
