Про фильтрацию локальных файловых систем я писал здесь - Механизмы фильтрации файловой системы. Информация весьма общая, но возможно, чем-то...
Прости, но ты на каком языке говоришь? Что есть "закрутить потоки через функции send/recv" ? Я вообще не знаю как закручиваются потоки, и ни я ни...
Я ведь не просто так спросил про детали задачи. Меня интересует, в частности, будет ли использоваться функциональность подсистемы Win32. Можно...
Ещё раз: уточни задачу.
Слишком общий вопрос, уточни задачу. В общем случае, пишем обычный драйвер, а по сети общаемся через TDI-интерфейс (или Winsock Kernel, если нужна...
Чему ты людей учишь...
Насчёт можно или нельзя - не знаю, у меня нет такой информации, но есть одна проблема: если ты отключишь PG, то создашь дыру в безопасности, т.к....
Я, в общем, ничего нового здесь не скажу, но время в ядре следует получать через KeQuerySystemTime(), при этом если требуется локальное время, то...
Да, только NtSetInformationFile() всё таки.
NtSetInformationFile() с классом FileRenameInformation. Используется как для переименования так и для перемещения файла в пределах одного тома....
Да, можно. Более подробно - в документации от Intel и AMD соответственно. Пример продукта можно посмотреть здесь - Hypersight Rootkit Detector.
Windows < Vista Для Windows до Vista задача сводиться к написанию TDI-клиента. Порядок действий примерно такой: 1. ZwOpenFile ( \Device\Tcp или...
Никак. Дело в том, что внутри IoCreateDevice() не вызываются никакие колбеки, на которые можно было бы подписаться. Похоже, что это единственные...
Я, честно говоря, так и не понял - тебе из памяти нужно DLL загрузить или с диска? Ну я на всякий случай напишу для обоих случаев. Подробностей не...
Неверно. Да, \Windows - это корневая папка системы, но она может называться и по-другому, например, \Device ;) Что будешь делать в этом случае?...
Грузи его динамически, в чём проблема-то? ZwLoadDriver() тебе в помощь, если вернёт ошибку - значит драйвера такого нет, если всё нормально,...
Статически нельзя, если у тебя нет соответствующего .lib-файла, содержащего не только символы, но и сам код. Для usbd.sys у тебя его, понятное...
PsSetCreateProcessNotifyRoutine() - это крайний случай, т.к. их всего может быть установлено 8 штук в системе. Может получится ситуация, когда...
KeWaitForSingleObject() без проблем может работать с объектами процессов и потоков (EPROCESS и ETHREAD соответственно), так что если у тебя только...
Могу предложить решение "в лоб". Создаём 1 байт именованной шаренной памяти через CreateFileMapping() и именованный мутекс. Мутекс нужен для...
Имена участников (разделяйте запятой).
