Уточняю, нужно записать файл, драйвер в директорию виндовс, причем сделать это таким оборазом что бы запись прошла мимо драйвера NTFS, хотя если...
Установил на Варю 6, на нотнике, работает как часы, не одного бсода, доволен.
Ну и где Касперски то? :)
IOCTL для записи и чтения файлов я вот не знаю, и мне кажется их нет, но даже если и будут то, какое устройство нада отрыть для отправки этого...
И вот еще что, всякие дефрагментаторы работают же тоже напрямую и вроде как не глючат, хотя они работают по упрощенной схеме. Может есть какой...
Тогда как насчет перезаписи существующего файла?
Вот собственно в чем вопрос, реально ли написать БЕЗГЛЮЧНЫЙ NTFS писальщик с прямым доступом к диску? Т.е. без использования всяких драйверов...
В СП2 просто туча функций без пролога, сделал прогу, и просканил все загруженные модули этой функцией, целый список выдала ФУНКЦИЙ, которые...
Короче нада найти DRIVER_OBJECT зная имя файла, есть метода следующая просканить реест, найти ветку реестра где встречается ImageName ну а дальше...
Да в том то и дело что многи начинаются еще и с mov, короче можно только сказать что это функция уверенно, но не наоборот.
Даже с учетом новой добавки в алгоритм определения, функции определяются верно не более 90 процентов в ядре, полно таких которые начинаются от балды.
Выяснил причину происходящего, если в функции устанавливается фрейм обработки SEH, и плюс к этому у компилятора стоит оптимизация по размеру, то...
Похоже некоторую закономерность нашол, там первые две команды пуша что то делают с SEH, не может ли это связано быть с обработкой этого SEH, ну...
Еклмн, может причинато в том, что тип вызова Nt функций не такой как у других, тогда почему некоторые с прологом?
Ну да, много, но не все, причем непонятна причина, по какому принципу они такие. Может это как раз то, для чего и придумали в МС команду MOV EDI,...
Например nt!NtDeleteAtom, с ним все впорядке.
Смотри экспорт ядра, а не NDDLL.DLL
Имеют, ты просто не то навернео смотришь, нада смотреть реальное тело функции а не заголушку, которая вызывает прерывание 2E или сис энтер в...
И еще кое что непонятное, ничего общего с сорцами nt!NtAllocateVirtualMemory этот код не имеет. Такое ощущение что NtAllocateVirtualMemory...
Непонятно какого фига некоторые функции имеют такой вид.
Имена участников (разделяйте запятой).
