Тут чуть поподробнее можно? Мне для повышения образованности.
Адрес функции loadDllThunkRoutine() должен располагаться в а.п. целевого процесса, не в ядре.
Ну да, можно и так сказать.
Да. APC вызовется после выхода из сервиса, т.е. блокировка уже будет освобождена.
У пользовательской APC есть две функции. Одна выполняется в режиме ядра (KernelRoutine), другая в режиме пользователя (NormalRoutine). При чём...
Тогда я вообще не понимаю, зачем нотификатор, если можно тупо запустить ядерный поток, когда надо, и не париться. Нет, так не надо делать. Память...
В какой именно момент необходимо внедрить эту .dll? Это зависит от того, что именно предполагается делать в этой .dll? Например, требуется ли там...
С другой стороны, это ведь хорошо. Должны быть и альтернативные мнения. Чтобы был выбор решений. И сейчас пока он есть.
Это про меня? Не помню такого, мы и не общались-то никогда напрямую.
Так нельзя делать в принципе, будет дедлок. Расскажи больше о задаче, зачем выделяешь память и т.д. Тогда сможем посоветовать что-то более конкретное.
Внимание, itt мыщъх делится историями об анальных карах для неугодных людишек. Ещё!
Драйвер-фильтр файловой системы. Нулевом, как обычно. Механизмы фильтрации файловой системы Ну если только в образовательных целях.
В данном случае можно не обращать внимания, вплоть до Windows 7 оно работает. Да, только я ещё раз напоминаю, что эта функция до Vista умеет...
Да ну? ZwQueryInformationProcess(). До Vista эта функция возвращает путь только в Native-формате. Начиная с Vista есть ещё класс...
Нет такого и не может быть у реестровых объектов, так же, как нет их и у файлов. Почему - подумайте сами.
Можно, но буфера обмена это не касается, так что боюсь что без вариантов.
Ровно на этот вопрос я тебе и ответил. А вот если тебе нужно знать, не удалял ли кто ключ реестра в это время, то уже это совсем другой вопрос, и...
Достаточно добавить ссылку через ObReferenceObject() и удалить её, когда объект уже не нужен. В промежутке между этими двумя действиями объект...
Да. Интересно. Даже не представляю, как это ещё называть. Ну можно, наверное, ещё "dispatch-хуки", но по сути то же самое ведь. Ну в каждом...
MJ-хуки, может быть.
Имена участников (разделяйте запятой).
