Всем привет! Скажите плз... В системе есть драйвер, который хукает функции NtOpenProcess, NtOpenThread. Как почитал, определить подставную функцию...
WIN32 Вот нечто похожее :) Скажите еще, если при создании процесса я получаю не нулевой его описатель, значит процесс создался и в драйвере должно...
WIN32 Каждый поток по идее создает и завершает 1000 процессов. Всего потоков 10. Получается 10000. Разве не так? А если вы имеете в виду, как...
WIN32 Как только был запущен, сразу был уничтожен... Т.е. ресурсы были освобождены, наверна :). Видимо нужно другой тест придумать...
Спасибо за обсуждение! Фишка в том, что был написан драйвер, который таким способом отслеживает запуск процессов. Далее было создано...
Привет Всем! Как следует из описания функции PsSetCreateProcessNotifyRoutine "она регистрирует callback функцию, которая вызывается всякий раз,...
Всем привет! Помогите решить проблему. Имею свой драйвер, который аттачу к \Device\Tcp. В TDI_CONNECT хочу узнать статус завершения данной...
TarasCo Спасиб, разобрался :) А можно по подробнее про "создать карту FILE_OBJECT..." ? Это, как я понимаю, для каждого коннекта будет свой...
TarasCo Попробовал определить тип адреса в TDI_CONNECT, но он почемуто равен 0, хотя должен быть TDI_ADDRESS_TYPE_IP. Код такой:...
steelfactor Спасиб, tdifw в первую очередь смотрел. Мне просто данные отсекать нужно по порту. На рсдн подсказали: попробую такой вариант.
steelfactor Спасиб, посмотрю... Только при TDI_SEND в параметрах буфер есть, где отсылаемые данные находятся. Мне нужно в зависимости от...
twist Такая книга не помешает в собственной библиотеке, тем более там диск с примерчиками к книге есть. Так что покупай... Что касается...
Приветствую всех. Перехватываю IRP_MJ_INTERNAL_DEVICE_CONTROL в \Device\Tcp и далее в своей новой функции отслеживаю TDI_SEND. Каким образим я...
twist Вообще еще у Уолтера Они в книге было как использовать общее событие в юзермоде и ядре. Если не найдешь, то могу описать и код привести, как...
twist Понятно. Тогда попробуй как n0name предложил.
twist Можно еще в драйвере в список заносить перехватываемые данные, а в приложении опрашивать драйвер с помощью ioctl каждые, например, 20 мс и...
Joes Именно принял в функцию Nsend(...).
WaterGhost Если просто нужно подменить функцию и метод неважен, то прочти это: http://rootkits.ru/viewtopic.php?id=39&action=new. Ключевые слова -...
Joes Он хочет поглядеть, что принял... Как Вы заметили "MessageBox принимает NULL-terminated string..." Поэтому лучше вызвать оригинальную...
Great Так и поступлю :)
Имена участников (разделяйте запятой).
