Но чтобы поставить этот нотификатор, мне нада мониторить создание процесса(или как-то другим способом можно?) и пихать ему его чтобы он при...
Все понял. Но тут возникает еще одна проблема. Получается мне нада мониторить запуск процессов для того чтобы добавить им калбэк, это не есть...
Это как без перехвата ? Я так понял перехватываешь PsSetCreateProcessNotify и по нему узнаешь какой процесс закрывают и можно какнить получить PID...
Есть драйвер режима ядра. Мне необходимо мониторить всю систему и ловить завершение процессов с получением их PID. Не подскажете какие функции...
Люди добрые... помогите нубу разобраться, есть ли в r0 генератор случайных чисел. Мне необходимо получить рандомное число при помощи функции. Есть...
Поддержал старую тему) n0name скажи плиз. А это смещение для всех Windows действительно или оно отличается ?
Ну помогите пожалуйста ! :'( я уже неделю с этим геморроюсь =(
Подскажите как это сделать пожалуйста. Как провести скан и отрезать в калгейте информацию по ASMJMP. Плииииииз =\
void GenJmp(ULONG To, ULONG From) { InsertDword(From + 1, To - From - 5); // dst - src - 5 InsertByte(From, ASMJMP); // jmp ... } Вот......
сканю до jmp, отрезаю все что после jmp и сам jmp и потом заменяю так: memcpy(Addr, CallGate, sizeof(CallGate)); я все правильно понял ? А как...
но ведь это калгейт с джампом =\ а можно его размер узнать sizeof ? м ??
Т.е. в КАЛГЕЙТЕ который определяется до строчек GenJmp((ULONG)Addr + SIZEOFJUMP, (ULONG)CallGate + CollectedSpace); GenJmp((ULONG)NewFunc,...
а не могли бы помочь построить код функции UnHook... у меня имеется только функции с приставкой Old - это резултатьы выполнения функции Hook. Т.е....
А не могли бы набросать приблизительно как это должно выглядеть =\
Ух ты.. кажись что-то понял. А откуда взять оригинальные данные для обратной замены ? Или когда я ставлю хук мне нада их запонить ?
Я просто дундук в этом. Помогите нуберу. Плииииииииииииз PVOID Hook(PVOID Addr, PVOID NewFunc) { PVOID CallGate, Inst = Addr; ULONG Size = 0,...
Ну мне же необходимо тогда при запуске программы проверять, загружен ли мой драйвер или нет. Темболее метод что ты написал мне совершенно...
ну подскажите как в драйвере самого себя выгрузить ? =\
А разве драйвер может сам себя выгрузить ? Если да, то не подскажете как это сделать ?
А какой способ, на ваш взгляд, наиболее оптимален? Насчет потока: ну создал я поток... но я же устанавливаю перехват в драйвере... я новичек в...
Имена участников (разделяйте запятой).
