Всем спасибо за помощь.
Данный способ сводиться к 1 способу. Они все в конце концов вызывают PspTerminateThreadByPointer.
У меня сейчас такая реализация и есть, но я не люблю неуниверсальные решения. Если искать по сигнатуре есть хотя бы некоторая вероятность...
У тебя ХР какие сервиспаки есть?
К примеру необходимы ntoskrnl и ntdll для xp sp1,sp2,sp3, vista rtm,sp1,sp2, windows 7. Не качать же все операционные системы из-за пары файлов.
Как я понял из дизассемблирвания ядра раньще эти списки были просто переменными, а щас их перенесли в PRCB, поэтому вряд ли удасться найти...
Ага т.е. в моём случае применимы 3 варианта: 1)PspTerminateThreadByPointer 2)PsTerminateThread, который вызывает PspTerminateProcess, который...
Ув. MSoft, флудите здесь только ВЫ, а кое-какую информацию из этого топика я уже вынес. Возможно её будет больше, а возможно нет, но я на шаг...
Ув. MSoft, я очень ценю ваше авторитетное мнение. Но какое отношение ваша жадность имеет к обсуждаемой теме, для оффтопов есть специальная ветка...
Задача: есть процесс он невидим и зашищён от удаления драйвером. Предположим найти PID процесса и его EPROCESS мне удалось. Как можно уничтожить...
Тото я думаю, она на ХР не работает. Мне же нужно для 32, а не 64. Существует ли метод их из какой-нибудь функции вытащить или из какой-нибудь...
И ещё не существует ли способа более надежного поиска этих списков в ОСях, начиная с ХР, чем использование зашитых смещений?
Хм, странно. PRCB для ХР typedef struct _KPRCB // 91 elements, 0xC50 bytes (sizeof) { /*0x000*/...
2Clerk 1)гугл + яндекс = стать мс-рема, ничего новее не находил. 2)по своей библиотечке прошелся 3)диззасемблировал ядро и пытался там найти...
2deshiko Это первая книгу, которую я прочитал. Там информация изложена недостаточно подробно, многое автор умолчал. 2dfrsa Спс, гляну.
Здравствуйте. Пишу антируткит на дипломный проект. Появилась необходимость поиска скрытых процессов. Один из способов должен быть поиск по спискам...
Даже на солнце есть пятна. Но это самое понятное объяснение формата РЕ из тех, которые я читал.
Почитай "от зелёного к красному" http://www.wasm.ru/article.php?article=green2red02, там подробно объясняется что к чему. Вычисление offset'a по...
Здравствуйте. Ранще, когда мне нужно было парсит РЕ я использовал ZwOpenFile\ZwReadFile +пересчет из RVA в оффсеты. Попробовал за грузить через...
Имена участников (разделяйте запятой).
