Можно но сложно и не корректно, даже в висте (где есть ASR) все равно по разным адресам дллки грузяться только per session (т.е. они одинаковые во...
Я к тому что ты собрался весь ф-л проги реализовывать в ядре ?
Хочешь писать все в ядре ? Бог в помощь :)
Забей на createremotethread в висте. Юзай RtlCreateUserThread только так можно заинжектиться в explorer и проч., ибо в висте CreateRemoteThread...
Из области искусственного интеллекта (ака скайнет на пороге 21го века) Сегодня: отлаживаю эмулятор, смотрю в переменной opcode значение (PCHAR):...
Инжекти APC на старте первого потока из драйвера
Незачем там что-то определять, все уже определенно #define KI_USER_SHARED_DATA ((ULONG_PTR)(KADDRESS_BASE + 0xFFFE0000))
Просто так вы не подмените sdt в kthread, дело в том что на первом вызове гуевой ф-ии win32k.sys конвертит поток в гуевый (ыы, "гуевый поток") и...
Ws2_32 считает свою срс, это вроде как давно всем известно.
Время установки винды в мсеках (храниться в реестре)
В лонгхорне уже сделали ProcessNotifyEx, там можно влиять на создание (т.е. вернуть ошибку к примеру и нифига не создасться)
Он там еще ExecuteFlags смотрит, в sysmain.sdb
Не говоря уже о том что выводить MessageBox из сервисов можно только передав специальный флаг.
Структуру плз покажи. 90% что неверна.
может забыл WSAStartup ? А оля его вызывает (возможно)
Кстати в 2008 сервере сделали нотифаям ф-ю PsSet...Ex, в ней можно прямо на ф-ии зарещать и проч.
Повесить фильтр в reinitialize процедуре и поставить ему флаг инициализации, чтоб к нему больше никто не атачился
rain Конечно научился, открыв память ядра юзерским приложениям (ака в Европу прорубив окно)
Угу, и потом заинжектить это в системный процесс :) После чего тебе ругнеться деп, окошком "svchost пал смертью храбрых, почтим его paged pool...
Я обычно ставлю MessageBox и атачусь стедией к примеру, потом ставлю брейк где надо и жму ОК
Имена участников (разделяйте запятой).
