http://www.osronline.com/ddkx/kmarch/k108_0q42.htm ProcessHandle Specifies an open handle for the process in whose address space the thread...
http://www.osronline.com/ddkx/kmarch/k106_9j5e.htm KeRaiseIrql http://www.osronline.com/DDKx/kmarch/k105_02eq.htm
Clerk Ну можно перехватить KiUserApcDispatcher только в защищаемом процессе, все зависит от задачи это имелось ввиду.
Из юзермода только перехватить во всех процессаx KiUserApcDispatcher/ZwQueueApcThread.
Ну сразу видно что можно с помошью апц в процесс кс заижектится, алертэйбл потоки должны быть.
Мне сегодня этот же тип стучал с такой же просьбой, разговор был не долгим контакт почти сразу удалил, наверное просто тип в отчаянии что тут такого..
Пусть выложит список хуков там скорее всего можно обойти каким-то из паблик инжэктов, если нет то просто очистить таблицу или с эмулировать.
х3 как ты статьи читал, перечисляешь все хэндлы в системе, находишь хэндл своего файла копируешь его с другими атрибутами закрывая оригинальный и...
RKU возьми посмотри shadowtable на сколько я помню, одна из старых версий перехватывал в sst функции для защиты от инжэкта, записи в память..
Максимально быстрый способ это регистрировать свой вектор прерывания для коммуникации (свободных векторов много).
NTSTATUS RtlUnicodeStringToAnsiString( PANSI_STRING DestinationString, PUNICODE_STRING SourceString, BOOLEAN...
Ну да, только ведь перехват обработчика исключений всеравно спалится, если патчить код..
barton А можно например перехватить send/WSASend и парсить запрос по кейвордам, ведь данные так или иначе отправятся гетом/постом?
Перехватить KiUserApcDispatcher, либо похукать DllEntryPoint ntdll. А вот с ZwSetContextThread, можно создать еще один поток, который будет...
советую почитать http://gl00my.chat.ru/nt/int2e.txt
Советую глянуть сорсы TDI фаерволла http://sourceforge.net/projects/tdifw
Советую воспользоваться отладчиком, а вообще первое что бросается в глаза: invoke WriteProcessMemory, hProcess, ProcAddr, addr OldCode, 6, bytes...
С днем рождения!
Собственно на сколько я знаю на многопроц. машинах проблем с ивентами/мьютексами нету, все дело в том как ты это реализуешь, и какова поставленная...
посмотри ntdll.dll и ntoskrnl.exe под дизассемблером и все поймешь.
Имена участников (разделяйте запятой).
