http://hellknights.void.ru/releases/0x48k-devicemonitor.rar
я ж тебе сказал что лучше всего перехватывать, и не обязательно что б функция получала всю страницу целиком это можно и вручную сделать.
Freecod Перехватывай WSARecv проблем никаких не будет, а если ещё и внимательно посмотришь на неё под дизасмом перехватишь незаметно для rku/gmer.
Можно через NtProtectVirtualMemory поставить атрибуты MEM_GUARD на модуль (страницы) в котором расположены апи, и в обработчике взводить TF все...
ASP.NET говорят классная штука хотя я не вкурсе.
Ставь int3 после вызова апи ну а в обработчике взводи TF.
KmdKit\tools\PhysMemBrowser\src
KmdKit 1.8 by Four-F http://www.wasm.ru/baixado.php?mode=tool&id=221
Позволяет кодес в кисе выполнять?)
Clerk Привет Тонкий намёк :))
находишь EPROCESS своего процесса и какого-то системного процесса, и просто копируешь поле Token из системного процесса в свой. оффсеты для поля...
Привет), Athlon XP, 1.49 GHz 1) ~1963 2) ~1008
Писать напрямую в физ. память можно и из юзермода с помощью NtSystemDebugControl, в аттаче необходимые структуры.
LPC, либо ивент и секция разделяемой памяти, много раз обсуждалось, да и чем собственно IOCTL не подходит?
Osen http://wasm.ru/forum/viewtopic.php?pid=188050
в гугле
Посмотри под дизасмом функции WSAxx
Opera 9.50 - send/WSARecv, не каких проблем с перехватом не возникало и под олей она прекрасно работает.
IRETD
IoGetDeviceObjectPointer
Имена участников (разделяйте запятой).
