От перехвата можно избавиться и не имея этой информации, причем универсальным для всех существующих и будующих виндов способом. Для этого просто...
Windows XP Sp2 B87A000000BA0003FE7FFF12C210 Windows 2000 Sp4 B86A0000008D542404CD2EC210 Windows vista beta 1...
KeNumberOfProcessors В атаче модуль для работы с мльтипроцессорными системами. Его функции GlobalLock и GlobalUnlock это имхо то что тебе...
The KeEnterCriticalRegion routine temporarily disables the delivery of normal kernel APCs; special kernel-mode APCs are still delivered
указатель pProc обьявлен как PUCHAR, следовательно прибавляется 1
Если этот код предполагается юзать из ядра, то нужна своя реализация GetModuleHandle и GetProcAddress. Куски моего пелоадера гдето на форуме...
ULONG GetSdtEntryNumber(IN PCSTR lpProcName) { PUCHAR pProc = GetProcAddress(GetModuleHandle("ntdll.dll"), lpProcName); if (pProc)...
Хукают SDT. Зависит от того, правильно ли реализован перехват (обрабатываются ли rel32 команды при переносе куска кода).
Вторая статья про апихуки. Ну, их можно скрыть. Нет, можно извлечь номер из соответствующей функции ntdll.
Если пишешь на фасме, то mov eax, [NtOpenProcess] P.S. способ с постоянной установкой/снятием хука юзать в ядре нельзя, очень нестабильно. Юзай...
Для уменьшения размера драйвера паковать не стоит, так как уменьшение размера обернется увеличением количества потребляемой nonpaged памяти, а это...
Пакеры для дров есть, но они приватные, так что если надо паковать дрова, то напиши пакер сам.
Подсчет происходит на уровне драйверов сетевых карт, отдельно для каждого адаптера. При запросе результатов подсчета драйверам сетевых карт...
11кб
Драйвер оутпоста обращается к юзермодной памяти без проверки указателей. Происходит это при формировании строки с дампом куска памяти...
DbgView
Да. Теоретически все можно.
А ты думаешь я бы так просто выложил, если бы не пишали? А чтобы не пищали надо посылать IRP нижнему девайсу в стеке, и обходить NDIS фильтры....
Сегодня случайно наткнулся на баг в драйвере OutpostFirewall в обработчике хука ZwWriteVirtualMemory. Этот баг приводит к бсоду. В атаче...
Не поможет, так как он вызывает тотже NtQueryInformationProcess, но только не напрямую, а через KiSystemService.
Имена участников (разделяйте запятой).