Та попытка использовать DKOM, что я описал в первом посте - это и есть использование PsLoadedModuleList
На основе статьи Ms-Rem http://www.wasm.ru/article.php?article=dumping написал работающий дампер. Его недостаток - невозможность дампа даже...
Как получить из хэндла процесса полный путь до файла соответсвующего данному процессу
Вопрос решен. Попытка засаспендить текущий процесс с помощью ZwSuspendProcess завершалась STATUS_ACCESS_DENIED Узнал о существовании...
Вопщем со всеми вопросами первого поста я уже разобрался. Осталось только научится саспендить все потоки текущего процесса (поэтому и юзаю...
К чему это?
На самом деле я даже не знаю прототипа ZwSuspendProcess. По аналогии с ZwSuspendThread предположил, что прототип NTSTATUS ZwSuspendProcess (IN...
Возник еще один вопрос по ZwSuspendProcess. Перехватываю, например, ZwCreateFile. При срабатывании определенных условий должен засаспендить...
Проверил, что в lib'е есть, после этого прописал прототип в ntddk.h и все заработало. Спасибо.
Возникла проблема с ObQueryNameString. Проект не компилится, т.к. ntddk.h не содержит данного прототипа. Однако ядро эту функцию экспортирует....
1) Как в перехватываемой функции ZwDeleteKey из хендла получить имя ключа? Протопип: NTSTATUS NewZwDeleteKey (IN HANDLE KeyHandle); 2) Как в...
Как получить путь аналогичный переменной окружения %WinDir% из драйвера?
Имена участников (разделяйте запятой).
