В заголовках объявлена функция NtCreateEvent, как обычно: __kernel_entry NTSYSCALLAPI NTSTATUS NTAPI NtCreateEvent ( __out PHANDLE...
Rel >можно попробовать выполнить какую-нить асм-команду характерную для x64 и половить исключения... Мы в режиме совместимости. Clerk >сравните...
Это очевидно из ([DriverEntry ==> System Сontext] + [Корректный ZwMapViewOfSection()] -> Task Still Unsolved) + ("а нужно в ядерной части" +...
Адресное пространство ядра не ограничивается верхней половиной виртуальных адресов. Например, у нас в нижней части АП ядра в данный момент...
Дело в том, что функция kernel32!QueueUserApc() добавляет в качестве APC дополнительную обёртку – kernel32!RtlDispatchAPC(), которая активирует...
Отказался от CRT, используешь ret или ExitThread для выхода? В этом случае на момент выхода из основного треда существуют другие потоки....
На самом деле желанность наличия\отсутствия директории релоков может зависеть от задачи. Вот здесь были такие варианты: –...
Есть идея прилинковывать заранее подготовленный объектник с секцией с нужным именем и желаемыми атрибутами. Линкер ругнётся, но секции наверное...
kaspersky >начинает оптимизировать $MFT файл, выкидывая из него записи удаленных файлов "Выкидывать записи удалённых файлов" или всё же "уменьшать...
l_inc Начинаем подозревать наличие проведения некого эксперимента с твоей стороны. Неет, Мы уже не можем быть разубеждены. >Зачем ACCESS_PAGE,...
Clerk "Ядро" в качестве модуля, теперь видим. Первый шаг – 'ACCESS_PAGE' – дал решающий вес в пользу другого толкования. Но сейчас всё ясно,...
Clerk Логическое ударение на слове "ядро"? Если так, то это не отменяет того факта, что поток может быть прерван после доступа к памяти, до...
Авторы сплоита плохо разбираются в ядре?! И кто ж хуже – Derek или Tavis? ...Уж как минимум между HEAP_PERFORM_CORRUPTION и...
>Sleep(1000) или SwitchToThread() Не делай этого. Для правильно построенного кода подобное не понадобится. Для неправильного – лишь уменьшит...
Всю тему не смотрели – лишь быстро прокомментируем кусок кода из #18: >nEvent = WaitForMultipleObjects(1,&hShutdownEvent,FALSE,100); Здесь нет...
at0s >опыт системного програмирования 20 лет, просто платформы другие Случайно не приходилось сталкиваться с системами, построенными по принципу...
Clerk Мы удалили, как оффтоп и провокацию. Хотя, возможно, стоило и другой твой пост удалить, ибо понятно, что во втором случае ZwOpenProcess()...
mov rcx, arg0 mov rdx, arg1 mov r8, arg2 mov r9, arg3 push arg4 sub rsp, 0x20 call func Упс. У тебя всё верно же. А вот мы почему-то смотрели на...
Вот здесь есть один неочевидный момент. Для простоты предположим, что у нас однопроцессорная машина. Также, в целевом процессе 2 потока....
Несмотря на все импликации сего действия таки было решено задать здесь этот вопрос: kaspersky Какова же тайная связь между кучей процесса –...
Имена участников (разделяйте запятой).
