Charlief Небольшое замечание: лучше заменить STATUS_NOT_SUPPORTED на STATUS_INVALID_DEVICE_REQUEST
ntcdm В общем случае – никак. Можно поставить трассировку на создание нитей и посмотреть лог. Трассировку можно организовать средствами WinDbg:...
Clerk Википедия жжет))) Но не такая это уж и большая тайна после утекших сорцов и WRK
Согласен, даже если разработка будет вестись на C, то хотя бы минимально нужно знать ассемблер на уровне уверенного чтения листинга. Это будет...
Не сочтите за снобизм, но не компилятор, а линкер функция ZwWriteVirtualMemory(...) не экспортируется из ядра. Если уж используете SSDT, то из...
На Win2k3 такого способа нет, думаю, что на более поздних системах тоже нет. Но могу предложить "варварский" метод: вписываем свои обработчики в...
Тема обсуждалась неоднократно, пользуйтесь поиском! Начиная с win2k3, может и раньше, вставили дополнительную проверку: ... if...
Да, еще не увидел в коде разрешения привелегии загрузки/выгрузки драйверов SE_LOAD_DRIVER_NAME, хотя это дает совершенно другой статус ошибки.
Rel, а стандартные консольные утилиты (net или sc) нормально этот драйвер выгружают? Попробуй: net stop drvntk32
Я все думал, что же мне напоминает эта ветка… а после того, как сформировали список вопросов дошло: тетрадку-анкету, подобные раньше (а может и...
Да, так тоже будет работать. Создание системного треда тоже даст работоспособный вариант. Ну и никто не запрещает править PreviousMode прямо в...
qwe8013 Уже писал в ветке http://wasm.ru/forum/viewtopic.php?pid=380652#p380652 :) Относительно этого случая: DriverEntry всегда вызывается ы...
qwe8013 При работе с kernel-описателем нужно использовать nt!ZwWriteFile(...)
Тебе нужны утекшие сорцы Win2k. Объявления этих функций есть в файле "~\private\windbg64\debugger\em\falcon\decem.h". Изменились ли они с того...
Clerk Zw-функции это вызов Nt-сервисов через wrap'ер, который выставляет значение PreviousMode у текущей нити в KernelMode. Буферы, передаваемые...
Какой AccessMode (KernelMode или UserMode) был передан в функцию ObOpenObjectByPointer()? Должен быть KernelMode, если используются Zw-функции....
Не то написал) В общем: объект либо должен быть последним элементом в пути, либо являться директорией, либо иметь ParseProcedure. В ином случае,...
Функция ObpLookupObjectName, если текущий родительский объект не является директорией, вызывает ParseProcedure: Status =...
А зачем же его выносить отдельным callback'ом тогда :) ? При открытии ключа реестра можно указать несколько бэкслешей-разделителей (но не всегда,...
Сорри, проблемы с аттачем: http://eretik.omegahg.com/download/vir.mp3
Имена участников (разделяйте запятой).
