Clerk Так долго бился над проблемой, что короткие слова закончились :) ... Учту
Пишу драйвер (не рут) который должен жить в мире и согласии с антивирусами не влияя на их нормальное функционирование. в драйвере хукаю несколько...
Можно проще - делаем hook на WH_KEYBOARD_LL, вместо CallNext возвращаем TRUE, и посылаем "мусорный" символ kbd_event. Любое user space приложение...
Спасибо всем! мне нужно с дрйвером ...
Freeman Смысл - добавить свой системный вызов. Может знаете где можно почитать детали?
SII То есть я могу написать дрйвер который будет ловить int из user space application? Что то типа sysenter, только собственный?
Нет. Просиходит "ничего". Попробовал написать пример - абсолютно никакого эффекта.
Извиняюсь за глупый вопрос ... Просто стало интересно, что в винде просиходит когда програмно делаем вызов прерывания. Скажем int 50h. В dos все...
Jupiter Спасибо! Нашел как отключить проверку драйверов - EasyBCD
Пока еще нет собственного сертификата. Как можно сгенерировать сертификат самостоятельно? Кстати драйвер гоняю под VmWare, значит сертификат...
При разработке драйвера для Vista 64 не использую подпись. Каждый раз во время reboot давлю F8 и делаю disable на проверку подписи файла....
Что странно - Rootkit Unhooker показывает все векторы с правильными именами функций... Попробую пореверсить.
Это конечно вариант, но уж слишком сложно, тем более, вызов NtUserSetWindosHookEx находится "глубоко". Уж проще тогда сделать таблицу: версия dll...
Очень нужен "надежный" способ определить по какому вектору в Shadow SSDT лежит NtUserSetWindosHookEx. К сожалению, эта функция не экспортируется,...
Имена участников (разделяйте запятой).
