ЛС включить видмо забыл:) Но мне все равно любопытно. Хотя мне наверно все что связано с инжектами DLL и перехватами API любопытно:) Структуры NSI...
Пожалуйста, фальшивый бипер:): static NTSTATUS OpenDevice(PWSTR DevName, HANDLE* hDev) { UNICODE_STRING DevPathUS; OBJECT_ATTRIBUTES attr;...
Я это испытываю на своем драйвере "защиты", который еще в 2012 году делал. Конечно сейчас многое поменялось, но я с тех пор не занимался драйверами
В таком случае он другую ошибку бы возвращал , а мне и не надо в памяти ядра ни чего делать.
Каких прав может не хватить у драйвера ядра? А ZwProtectVirtualMemory как экспортируется ядром, так и есть, ни каких NtProtectVirtualMemory в его...
На Windows 10 x64 вызываю ZwProtectVirtualMemory из LoadImageNotifyRoutine при загрузке User32.dll, но с любым флагом защиты кроме исходного...
В моем инжекторе обнаружилась проблема. Если запустить один раз процесс с установленым ProcessNotifyRoutine, то система запоминает путь папки и...
Сделал нормальный тест хуков для этого драйвера. За одним и для тех, кто не верит что такое на самом деле происходит:) Проблема в том, что...
Не существующую DLL вряд ли получится передать в SetWindowsHookEx, так как там уже ее HMODULE надо передать. Проверять лень потому что это к делу...
Как мне лог поможет пометить DLL в битовой маске как загруженную? Потому что win32k сам ее не пометит, получив NULL от ClientLoadLibrary. *(_DWORD...
Нет, я сначала в отладчике проверил, менял просто одну букву пути к DLL в User32::ClientLoadLibrary и тогда ClientLoadLibrary вызывалась снова и...
Если DLL, которая регистрируется через SetWindowsHookEx вернет FALSE из DLLMain, или просто LoadLibrary не сможет ее загрузить, то win32k не...
Есть только драйвер, который фильтр файловой системы и установил LoadImageNotifyRoutine. Вот из него и нужно боротся с внедрением DLL в защищаемый...
Я смотрел в WinXP, там действительно нет способа выставить этот флаг через API. Фактически это все для семерки нужно, если в десятке можно...
THREADINFO это структура ядра, TIF_flags из юзермода не доступно. Патчить ntdll::KiUserCallbackDispatcher на крайний случай, лучше уж сразу...
Возможно ли такое? Нужно для борьбы с внедрением DLL через оконные хуки методом получения THREADINFO и выставления TIF_DISABLEHOOKS в TIF_flags...
Немного почищенный PAQ8: https://github.com/Vicshann/Common/tree/master/PAQ8 От CRT точно не зависит, может и WinAPI не использует. Для сжатия :...
Вот, выдрал из моего шаблона С++, вроде вполне чистый C:) wchar_t* GetCmdLineParam(wchar_t* CmdLine, wchar_t* Param, unsigned short...
Какой интерфейс WDDM оно использует и можно ли до него добраться с пользовательского уровня? WDDM же вроде открытый? Почему-то не могу найти то,...
Обычный cast, вроде "(ULONG_PTR*)&info" но с понтами:)
Имена участников (разделяйте запятой).
