а WIN7_RC -- это Windows Server 2008 R2 ?
Еще вопросс: А для SHADOW SDT кто-нидь пробовал алгоритм поиска индексов маслать?
Спасибо за инфу.
Вот тут https://wasm.ru/forum/viewtopic.php?pid=325184#p325184 описан алгоритм выдирания индексов функций в SDT. Вопросс для тех кто этим...
Просто информация. Ранее я поднимал тему (https://wasm.ru/forum/viewtopic.php?id=33300) мониторинга реестра в кернеле, в частности как мониторить...
Ок. Буду рыть форум раз уже было. :-) Я же исходников не требую... Да и старый я уже...
Да. В самом деле ошибся пока забивал таблицы для нужных ОС и SP. Кстати в эту тему вопросс:...
А у меня такой вот вопросс: Можно ли написать алгоритм получения адреса ф-ции (если она есть в SDT) под разными системами не вишвая ее индексы?...
Все сработало для NtCreateKey и там RootDirectory имеет имя вроде '\REGISTRY\MACHINE' и т.д. Но в NtOpenKey при вызове ZwQueryObject вываливается...
Мониторю ф-ции доступа к реестру: NtCreateKey NtOpenKey NtDeleteKey NtDeleteValueKey и прочие NtEnumerate(Value)Key и т.д. В МСДНе...
Большое спасибо всем за проявленное участие. Проблема разрешилась.
Да, глупая ошибка с моей стороны, согласен. Но пока вы не убежали мот еще подскажете: section_ptr->_Segment->ControlArea == 0x08e6742a Это, как я...
Порыл я блог ваш, но ответа не нашел. if (NULL != SectionHandle) { PSECTION *section_ptr = NULL; NTSTATUS status =...
Да, это помогло. Отрабатывает без ошибки, но возвращает NULL в (*section_ptr).
Я смотрел этот код. Помоему это немного не мой случай. Т.к. там получается имя секции на этапе уже нотификации, т.е. процесс или создан, или почти...
Перехватил NtCreateProcessEx. Надо забанить запуск заданного процесса. Но в NtCreateProcessEx приходит NULL в (POBJECT_ATTRIBUTES...
Хочу перехватить в ядре парочку ф-ций методом вставки кода (не через SDT), которые лежат в ntdll.dll, например NtCreateProcess... Но как узнать...
А вычитать родные адреса (саму таблицу ф-ций) с файла ntoskrnl.exe можно?
Дык там код-то проще некуда: typedef struct _SERVICE_DESCRIPTOR_TABLE { /* * Table containing cServices elements of pointers to service...
"Найти таблицу системных вызовов в памяти очень просто. "Скармливаем" NTOSKRNL.EXE функции LoadLibrary и, используя возвращенный ей дескриптор,...
Имена участников (разделяйте запятой).
