Абсолютно некорректен по одной простой причине. Маппинг всех юзермодных образов производится через секции, - это ты знаешь. У секций есть...
Shelwien Мальчег, тут, вероятно, имелся в виду хук на NtWriteFile в ядре. Тогда и сисентер и все остальное туда приведет. А вам не стоит...
Memory-Mapped Files. Короче, CreateFileMapping (ZwCreateSection) и MapViewOfFile (ZwMapViewOfSection). Чето ты перекурил немножко.) A/W только у...
Почему ты так решил?
CyberManiac все равно ж будет ZwWriteFIle. Так что надо и ZwWriteFile хукать и ZwCreateSection/ZwMapViewOfSection.
К слову, биндинг к длл - это другое. А ты, возможно, имел в виду статическую линковку. А вообще мило, записал в список тулз своих)
x64 Прям щас вот так не вспомню, я бы посмотрел, но сейчас времени крайне в обрез. Поэтому увы, сегодня без домшнего задания домой пойдём -) Хотя...
x64 Как это не делает? Открыть файл, взять девайс, конвертнуть через RtlVolumeDeviceToDosName и соединить с именем файла. Если имя в формате...
RtlVolumeDeviceToDosName RtlNtPathNameToDosPathName
документированно нигде. в исходниках win2k, если у тебя есть. либо разреверсить CreateProcessInternalW и CsrClientCallServer и посмотреть как оно...
Наверное, в висте тоже блочится. Я пока что писать аттач к lsass для висты/вин7 не буду. Работа ждет. Будет время - напишу
Да, я пореверсил, оказалось, что в вин7 csrss.exe не обрабатывает hard errorы от процесса System, откуда я собственно и вызываю. Надо вызывать из...
Легальный способ с ZwLoadDriver. Нелегальный - это сплоиты всякие, если найдете (паблик/приват) где-либо. Clerk Что-то мне не сильно верится, что...
эту переменную тоже надо определить и заполнить указателем на системный процесс. ну собственно раз так усердно просите.. код...
Я, кстати, апдейтнул исходный код, чтобы выводить диалог из контекста любого процесса. (код в блоге работает только из system) нужно доставить...
стандартный фаервол виндовый можно сконфигурировать нормально. чем не вариант?
BSoD, который показывается функцией KeBugCheck(/2/Ex) это реакция на критическое событие, после которого нельзя продолжать работу системы....
ну 64к не особо много.
pdbdump качай теперь
Вообщето KeCapturePersistentThreadState запускать можно. http://www.wasm.ru/article.php?article=kcpts
Имена участников (разделяйте запятой).
