А ведь кодес который выложил Clerk работает, на XP SP2 - бсод :)
Если вы все ещё о копировании токенов процесса System, то это уже даже не смешно я рассказал все как это сделать каким методом, и место того чтоб...
Как по мне тогда уже лучьше вызывать что угодно, чем что-то переопределять, а потом вызывать что угодно :) ps сори за оффтоп
delete [] == kernel32.dll!HeapFree в ядре это точно скрытый баг в коде верно подметил гыы
ну найми кого-то чтоб тебе на си++ перевели, йа разрешаю)
Для начала я б тебе посоветовал с native api поработать если ты не знаешь это такое, на си++ примеров много, а потом что тут переводить? делаешь...
Freeman ntpatch же есть)
как тут ещё подробнее, по native api есть ман - NativeApi.pdf :) насчет реализации чтоб сделать код полностью независимым нужно получать экспорт...
В KM если не вызывать никакие функции из других модулей вполне реально)), в UM можно написать приложение которое вызывает системные сервисы по...
Любая модификация в секции кода легко обнаруживается. Ну во-первых как по мне проверять секцию данных побайтово это как минимум глупо, и не имеет...
Есть более продвинутые способы перехватить определенную функцию - перехват в секции данных сейчас не обнаруживается некем. Минус лишь один таких...
ntdll.dll!KiUserExceptionDispatcher?
вот рабочий код на masm Start proc Local Handle:HANDLE Local ObjAttr:OBJECT_ATTRIBUTES Local UniName:UNICODE_STRING lea edx,pName invoke...
Malwara Читайте внимательнее я и написал: Syscall из UM никак не словишь. Разве что через NtDebugSystemControl переписать msr и то обработчик в...
_http://www.rootkit.com/vault/fuzen_op/HideProcessHookMDL.zip В книге Г. Хоглунда есть коменты к коду.
Могу посоветовать использовать Syser довольно удобный отладчик, под syser трассировка sysenter приводит прямо в ядро.
Если не прибегать к KernelMode методам то самое простое будет просто анхукнуть, вот тут рабочий код.. _http://forum.antichat.ru/thread48514.html...
Да, http://research.eeye.com/html/tools/RT20060801-7.html качай и кури сорсы..
:D криво сделал, значит, отлаживать пробовал обработчик? как перехватываешь? перехват во всех процессах работает корректно?
Если имя файла заранее известно то вполне сойдет NtNotifyChangeDirectoryFile, если же нет то можно перехватывать во всех процессах NtDeleteFile,...
Имена участников (разделяйте запятой).
