PVOID NtYieldExecution_Old = NULL; ULONG dwOldCodeSize = 0; PVOID NtYieldExecution = NULL; По адресу pWriteAddr, записывает push pJmpAddr/ret....
в какую флеш-память?
Сыграю роль телепата :) SetHideProcess из контекста мне кажется, что это флаг показывающий надо ли запрещать завершение какого-то процесса(флаг...
Как? :) Я бы пошёл в армию, если бы был уверен, что там не будет дедовщины.
Начинай :)
http://www.wasm.ru/forum/viewtopic.php?pid=162238#p162238
боян
я постил ответ на твой пост в каком-то треде.
какого батника
Время, возможность ошибки => BSoD. Я делал вот так: void WriteFarJmp(PUCHAR pWriteAddr, ULONG dwJmpAddr){ *pWriteAddr = 0x68;...
function NtQueryInformationProcess(hProcess: THandle; ProcessInfoClass: Integer; ProcessInfoBuffer: Pointer; ProcessInfoBufferLength: Cardinal;...
В ntdll.dll одинаковые :P Хотя для r0 разные, в Zw* AFAIR устанавливается PerviusMode = KernelMode.
после connect'а, браузер посылает запрос(send) на получение страницы - "GET /some.html". Подробнее можешь почитать в спецификации HTTP, и...
В VS 2003 можно, в 2005 скорее всего тоже.
Active А может она и не используется? :)
Мутное это дело. Лучше перехватывай соответствующие функции в advapi32.dll. На самом деле AFAIK всё это дело проходит через RPC с процессом...
Не надо так давать ссылку на результаты поиска, она только для тебя. Точнее только для юзера с такой сессией.
Зачем тебе SCM? Сразу отслеживай доступ к реестру и запуск через ZwLoadDriver.
интересно, спасибо за пост. NDIS 6.0 если не ошибаюсь в Висте юзается?
Santaev Ты по ссылкам не ходил?
Имена участников (разделяйте запятой).
