Тада надо сравнить всю систему побитно... ;-) буду рыть далее... посмотрю что айс меняет при инсталяции
тада какож фига все валится? Ну кто-нибудь, ответьте...
вот: kd> !analyze -v ******************************************************************************* *...
Вроде как пример клавиатурного (и мышиного тоже) драйвер-фильтра входит в Samples NTDDK... Вот даже посмотрел на пути, у меня...
Да не руткит это и не троян, а наоборот могет служить средством выявления таких зверей... Но тем не менее вопросс остается открытым! Я это все...
я в непонятках... после установки СофтАйса ПЕРЕСТАЛО ПАДАТЬ... сам код я не менял. поди пойми что было...
вот что выдало в WinDbg с открытым КрэшДампом: !pte ZwCreateFile VA 7c90d682 PDE at C03007C8 PTE at C01F2434 contains...
Не помогло... По КрэшДампу шапка стека такая: KeBugCheckEx MmAccessFault KiTrap0E тут вызывается попытка записи...
если находится в подкачиваемой памяти, то что делать? как ее обратно вернуть? :-)
плиз про РТЕ попобробнее... вкратце что такое и где почитать...
согласен, ошибка... :-) но до этого даже не доходит, а падает на записи в шапку ф-ции
Врядли это как-то прояснит ситацию... Вот что пишет: DRIVER_IRQL_NOT_LESS_OR_EQUAL далее "если это в первый раз, то... БЛА-БЛА-БЛА..." и...
пишу драйверок, в котром хукаю пару функций. так вот хукаю так: cli; mov eax, cr0; and eax, 0xFFFEFFFF; mov cr0, eax; Дизассемблирую код и...
Есть подписанный бинарник. Когда тискаеш по нему правой кнопокй мыши и выбираеш свойства, то одной из закладок (если файл подписан) отображается...
ЗАДАЧА: перехватить DriverEntry при загрузке определенного драйвера... Есть какой-то хитрый драйвер он при загрузке чего-то делает и выходит....
Спасибо всем. Впринципе инфы вы мне сообщили достаточно... Буду пробывать.
MoonShiner "Видимо, необходимо узнать, кто выделил эту память вызовом ExAllocatePool или че-нить такое. ИМХО никак..." Вот именно!...
Ситуация: Kernel, есть какой-либо адресс -- необходимо узнать какой модуль создал блок памяти, содержащий этот адресс.
Спасибо всем за помощь.
В IDA не нашел возможности сохранить результат в тхт файл. Версия 4.7.0.830. Попробую PeExplorer.
Имена участников (разделяйте запятой).
