FreeHunter С каким кодом хоть падает?
Не так, бсодить будет только на машинах, где память защищена от записи. Вот так правильнее: void MemOpen( OUT ULONG *OldCr0 ) { __asm {...
в ProcessHunter косяк с макросом, который сбрасывает WP bit, в последней версии (с PowerKill - ом) вроде исправленно уже.
Gradiz Вначале почитай у Руссиновича про ACCESS_TOKEN ;)
FreeHunter Что-то ты не так делаешь (ИМХО). У меня таких проблем не возникало. Как там у тебя обстоят дела с блокировкой проца? cli/sti текущего...
Это все известно и понятно. Не надежный это способ, нет гарантий, что формат этих структур не изменится в очередном обновлении, после чего драйвер...
Откуда вы такие умные взялись? Если не верите мне, то поверьте хотябы Марку Руссиновичу:...
именно это я и имел ввиду, старые ОС действительно не поддерживают эту фишку
нда... прочитай еще раз (вдумчиво) то что я написал, прервется не на инструкции, которую ты перезапиываешь, а в теле твоего хука; получишь вот...
гыгы, а как быть с чужими тредами, которые оказались в теле дрова? Допустим чей-то поток прервется на первой инструкции в теле твоего хука....
Тогда поясни, как снять свой хук и выгрузить драйвер, чтобы это: 1) не 99,9 а 100% гарантировало стабильную работу системы. 2) при этом не...
Блин, как ты хук будешь потом снимать? А если после тебя кто-то похукает NtTerminateProcess? Ты выгрузишь дров, а он потом твой хук вызовет, или и...
Причина, по которой вероятно, та же, что и в случае с хуком NtTerminateProcess. Удалять то нотифай можно, а вот дров выгружать небезопасно...
Дык, может в цикле по таймеру читает просто важные ветки реестра по авторану и следит что там поменялось. Здесь и хукать ничего не надо :)
после расстановки хуков драйвер вообще лучше не выгружать, на 100% безопасным это не будет, к тому же действительно, лучше воспользоваться...
n0name через NtWriteFile тоже можно отформатировать, точнее забить его, к примеру нулями, (путем прямого доступа к диску). Ну я так понял, что...
Написать драйвер, перехватывающий NtWriteFile / NtWriteFileGather. Имея FileHandle получить PFILE_OBJECT через ObReferenceObjectByHandle; далее...
HANDLE PsGetProcessId(IN PEPROCESS Process); LPSTR NTAPI PsGetProcessImageFileName(PEPROCESS Process);...
lev вот это мне не понятно: cresta: cli mov eax,CR0 mov [tmpCR0],eax and eax, -1...
Может кто-то написал глупость, другие ее повторяют. Но Может кто-то таким образом хочет восстановить старое значение cr0, но для этого надо бы...
Имена участников (разделяйте запятой).
