X_k Когда узнаешь, не вздумай ничего писать. Иначе через несколько дней способ уже перестанет работать. Если тебе конечно хочеться "попонтоваться"...
Просмотри сорцов винды показал, что это не так. После посылки IRP_MJ_CLOSE делается освобождение буфера if (fileObject->FileName.Length != 0) {...
Если это каждый раз делать в обработчике create, то производитетльность пострадает ощутимо. IRP_MJ_QUERY_INFORMATION выполняется довольно долго.
Значит смотришь не прямыми руками. PUNICODE_STRING FileName; ULONG Len = 0; ULONG Len2 = 0; PWCHAR fName, p;...
Как открывать том и читать его, можно прочитать в http://wasm.ru/article.php?article=lockfileswork Ну а чтобы понять как работает антируткит, надо...
drmist Мда, руки нужно срочно выпремлять. Код просто блещет багами. 1) pTmpKeyInfo = (PKEY_BASIC_INFORMATION)MmGetSystemAddressForMdl(Mdl); (а...
Предложи не буржуйскую поделку, с не буржуйским гуи :) Имхо неплохой антируткит IceSword, но он вобще имеет гуи на китайском.
Твоя проблема заключается в том, что адреса аргументов передаваемых функции не соответствуют PreviousMode. Есть несколько путей решения этой...
Антируткит старый, а как обойти - читай мою статью http://rootkit.com/newsread_print.php?newsid=526 Там приведен пример кода реализующего...
Имена участников (разделяйте запятой).
