DrWeb дает кучу ложных срабатываний. Он ругается на некоторые мои проги которые к трояну вобще даже никакого косвенного отношения не имеют. Имхо...
А статьи почитать не судьба? Вроде бы про это писали.
Ага, и еще читать SYSENTER_CS_MSR, если он нулевой, то fast system call не используется. __asm { pushad mov eax, 1 cpuid...
С перехватом sysenter есть еще одни неочевидные грабли, как натолкнешся на них, так спросишь.
Пример есть в сорцах phunter, правда там не совсем корректно реализован перехват fast system call. на XP SP1 есть такие грабли, которые...
Ну а что надо то? они тебе дату и время и выдает. Перевести в локальное время можно через ExSystemTimeToLocalTime Для каждого ком порта...
Unicode строки в большинстве случаев тоже оканчиваются нулем (не обязательно), а Delphi строки всегда оканчиваются нулем в целях совместимости.
Где? Впервые слышу о подобном. Конечно если имеются в виду драйвера принтера, то согласен, но имхо драйверами их назвать нельзя. Имхо вопрос...
KeStackAttachProcess А на мультипроцессорных системах ее всеравно могут выгрузить. А вот этого делать не советую, так как обретешь...
Потому что неизвестно откуда читать. Виртуальный адрес по которому находилась секция мог быть отображен на любой физический адрес, а на какой...
Скорее всего она выделяется под другие данные. К тому же врядли ты найдешь эту страницу в физической памяти, потому что оан там может находиться...
Строки распознавать можно по тому факту, что они состоят из определенного набора символов и заканчиваются нулем. И обычно на них идет ссылка из...
Просто у драйверов могут быть discardable секции, это например секция INIT. После возврата из DriverEntry их память освобождается. Вот он...
Народ, хватить флеймить. Проблема давно решена. Модераторам: закоройте тему плиз.
http://www.frsirt.com/exploits/
ЛОЛ! Нельзя прочитать ту память, которая отсутствует. Лучше учи матчасть насчет discardable секций.
ЛОЛ! Слыжбы это то что работает в user mode, а драйвер - то что работает в kernel mode.
NTKERNELAPI означает _declspec(dllimport) Тоесть прямой импорт без переходников.
Потому что обьявлять надо правильно. extern NTKERNELAPI void KiDispatchInterrupt(void);
В винде впринципе тоже. Сокет это хэндл устройства \Device\Afd
Имена участников (разделяйте запятой).
