Конечно, можно. Хук на NtTerminateProcess и сравнение хендла с хендлом нужного процесса
Clerk Не понял? DBGKD_GET_VERSION64 одинакова по определению, оффсет KdVersionBlock в KPCR не меняется с 2k до Vista. Почему ненадежно?
А кто eax заполнять будет?
прочитать sdt из ядра на диске.
А вот я кстати не помню - в CreateProcess или в LoadImage.
Неправильно определена структура DRIVER_OBJECT (в ее названии кстати нет P в начале) - пропущен DriverStartio между DriverInit и DriverUnload,...
Ну ты просто-напросто пишешь напрямую в буффера менеджера кеша походу, которые скидываются потом на диск, когда замечается, что они изменены....
ZwQueryInformationFile (FileNameInformation)
Даже в хипе умудряются оффтопить.. <_< (удалено с десяток сообщений)
Видать, да. http://www.intel.com/products/processor/manuals/ - ссылочку "order a printed copy" убрали
blast там есть точка KiIntSystemCall и механизм через int 2e. Кстати говоря, такая же есть и в win xp, но не используется. PS. А не проще ли...
Clerk Если текущий поток создавался как ядерный, а ты делаешь iretd, то могут быть проблемы с TEB и прочей юзермодной ерундой, которая не...
подсказка - Shell_NotifyIcon
max7C4 иногда полезно читать вопрос прежде, чем отвечать)
Ого, у них книжки закончились. Видать, я сагитировал народ)
2 BlackParrot так помогайте: 2 perez, BlackParrot А что, кнопочка "Сообщить модератору" неудобно расположена? Не стесняемся пользоваться.
n0name уже сказал - вечным. PLARGE_INTEGER BaseFormatTimeOut( OUT PLARGE_INTEGER TimeOut, IN DWORD Milliseconds ) { if ( (LONG)...
Авира палит мой сэмпл к одной из статей васма как rootkit.gen чисто по функциями которые он импортирует. Чему удивляться)
И это WASM.ZEN?! Мда..
kaspersky Я бы встретился пообщаться =) Да ногу сломал вот =( Так что фиг знает
Имена участников (разделяйте запятой).
