DbgPrint("Trying"); POBJECT_HEADER Header = OBJECT_TO_OBJECT_HEADER( Object ); DbgPrint("Header = %08x", Header);...
Four-F Да, я проверял - сначала от DbgPrint'ил указатель, возвращаемый IoGetDeviceObjectPointer (она нормально возвращает STATUS_SUCCESS). Далее...
_ir4_Y_ http://wasm.ru/article.php?article=asminunix
Попробовал с FILE_OBJECT... один хрен PAGE_FAULT_IN_NONPAGED_AREA (50) Invalid system memory was referenced. This cannot be protected by...
база 0000B800 насколько я помню, лимит - 0000FFFF.
katrus Ну да. Типа флаг в чужом адресном пространстве, пока он установлен спать, а как только снимется - поставить его, ченить записать и снять...
Vilco Поиск-то?) http://www.wasm.ru/forum/search.php
Да я шучу) Я вспомнил, это не касперский палил, а фаер какой-то. Кажется, у меня тогда стоял аутпост. И установка хука ему не сильно нравилась.
agent007 ну да, а сплайсить потом тоже законно?) кстати, к системным процессам вида lsass он вроде подключен не будет, насколько я помню..
agent007 а SetWindowsHookEx она не пропалит? :))) У меня касперыч матерился на установку хуков таким образом.. всего-то перехватить CreateProcessA/W
Вот тебе функция кстати // // Переносим свою тушу в чужое адресное пространство // // частично взято у gorl'а, который тоже откуда-то спер ;) //...
не надо будет. ну а если переносить свою тушу в чужое пространство, то все тоже самое, только лишней длл не надо. Чем не проще?
Можно вручную создать некое подобие блокировки на основе памяти одного из процессов.
zell Тогда пиши свой пе-лоадер, благо в нете сорсы есть. Даже на этом сайте вроде была статья про запуск пе из памяти
Пытаюсь получить имя девайса. Вот функция (я покрамсал сех-фреймы и прочее, только основное): NTSTATUS GetObjectName( PUNICODE_STRING ObjectName,...
Оо кинь код плиз для парсинга релоков.
У них тоже знаковый бит есть. Самый старший
_DEN_ ))))))))))))))))))))))))) лол Конечно, RamMerLabs имел в виду частное значение слова application применительно к ИТ и означающее...
Сохранить знаковый бит в памяти только. Сверять знаковый бит текущего числа и записанный (предыдущего). Если поменялось - танцуем
Не понял.. просто следить за изменением знака чисел не катит?
Имена участников (разделяйте запятой).
