100gold На уровне IRP устанавливаются фильтры, там же и кейлоггеры. Так что надёжнее и проще эмулить ввод на уровне шадова(RIT), либо на уровне...
MSDN: Само собой понятно, что обычным приложениям(это отладочный функционал) это юзать не нужно, также как и знать стартап адреса. Если вы решили...
SYSTEM_EXTENDED_THREAD_INFORMATION.Win32StartAddress
AlexSun Сказанного про эту секцию достаточно, чтобы найти в сурсах ядра ссылки на имя секции и её использование: Проецирование для NTVDM:...
Есчо можно указать в директории конфигурации модуля битмапу ProcessAffinityMask. Но такая установка опасна - при невозможности установить...
Есть структурная обработка исключений(при этом один описатель диспетчера фолта является пользовательской структурой в локальном стековом фрейме),...
recon.cx/2008/a/thomas_garnier/LPC-ALPC-paper.pdf
Аффинитет же.
Ядро из секции физиклмемори инфу и читает.
xyz Я тоже не догадался. Не знаю какое отношение пользовательский загрузочный рантайм имеет к ядру. Апдейтит счётчик загрузок модуля, залочивая...
Как детектить такой поток ?
1. Нет смысла. Может потребоваться переключение между сессиями(MmAttachSession()). 2. Адрес буфера значения не имеет(в пределах пользовательского...
Использование тлс - это нормально. Обычно приложения многопоточные. А в качестве защиты использование тлс бессмысленно, таже олли генерит брейк на...
x64 Ого скока текста.. Хотя его смысла нет читать, так как галимый аверсикий изврат. Не удивительно что авер расписал этот вопрос. Надеюсь не...
Итак где описание прблемы ?
Имена участников (разделяйте запятой).
