Все зависит от того какая гибкость тебе нужна если взаимодействие будет происходить только между двумя процессами то вполне подойдет...
PsGetCurrentProcess/Thread?
Можно найти нужный хэндл файл (ZwQuerySystemInformation(SystemHandleInformation)) скопировать его себе с другими атрибутами и удалить файл....
Ну тут вариантов не много либо из юзермода перехватывать NtTerminateProcess/Thread, но тогда понадобится инжэктится во все процессы и отлавливать...
Я просто думал что ошибка какая-то вполне тривиальная, а оказалось что нет делай как считаешь нужным) зы мало тут осталось у кого спрашивать(
SPA Нечего сложно - логика такая создается секция (CreateFileMapping/NtCreateSection) и проецируется (MapViewOfFileEx/NtMapViewOfSection) в оба...
Огромное спасибо Great'у, указал на ошибки в коде, буду исправлять.
Создается поток с помощью PsCreateSystemThread, поток производит кое какие действия (инжэкт апц)), далее вызывается...
ntpatch.lib от Clerk'a.
туплю )
Из юзермода? Оо это как? может вы с потоком перепутали?) или имеете ввиду NtCreateProcessEx?))
Скачай программку Everest кажись называется она тебе выведет полную инфу о неопределённых устройствах.
mov sdSID.Revision,SECURITY_DESCRIPTOR_REVISION lea ebx,buf assume ebx:ptr TOKEN_USER mov eax,[ebx].Sid mov sdSID.Owner,eax assume ebx:nothing
Не совсем копию скорее проекцию, почитай статью http://www.wasm.ru/article.php?article=mem_management там описано про memory mapping и как оно...
насколько я понял step_out имелось ввиду - Debug till user code в OllyDbg пусть ТС отпишет.. врядле запоминается на каждом коле слишком сложно,...
F8 step over - просто ставится бряк поcле кола и резюмится поток. step out - х3 как оно в отладчиках мне кажется просто берется из стэка первый...
Алгоритм чего? отладчик пишешь?
ну всё зависит наверное от задачи которую себе поставил. А что мешает самому реализовать.
WSARecv / send А вообще есть такая хорошая штука отладчик называется.
Проверять данные на "HTTP 1.1" или как там в заголовке, если оно - выделяем буффер читаем туда с помощью той же WSARecv в цикле пока ReturnedBytes...
Имена участников (разделяйте запятой).
