PspTerminateProcess вызывается из PsTerminateProcess. При этом код PsTerminateProcess вообще гениален: push epb mov epb, esp pop ebp...
LoadLibrary по любой увеличивает счетчик ссылок. В этом и прикол дергания GetModuleHandle, но это только в том случае, когда доподлинно известно,...
IceStudent Даже не русские слова имеют правила правописания. Нет? pushick Естественно, что мягкого знака в "оригинале" нет. А вот слова "алИас" в...
Господи... да код добавляющий привилегии валяется на каждом углу. Тем более, мне кажется что автор не спрашивал как именно они подрубаются.
Ник - название фильма. В школе (класс восьмой) понравилось - слово было написано очень прикольно. Вот с тех давних пор я Твистер, причем не только...
Ланет пишется без мягкого знака. IceStudent Правильно писать альяс.
Решение зависит от кол-ва отрезков и их взаимного расположения. Давным-давно что-то читал про задачи такого типа, но вот обоснование не помню....
Жжошь, однако!... Конкретизируй вопрос, пожалуйста...
Нет, привилегию необходимо подрубать ручками.
Ну блин, обосрали Twister'a... ;) Что было, то и нарыл (за 5 минут)...
В ядре есть неэкспортируемая переменная PsIdleProcess - в ней храниться указатель на блок EPROCESS процесса Idle. Единственная экспортируемая...
гм... И правда. Дал айсу команду proc и в самом конце увидел Idle... Дал dd <eprocess_addr> и оказался действительно в блоке EPROCESS, о чем...
Нет у него блока EPROCESS (я не так давно занимался именно "прогулками по PsActiveProcesses")! Возможно вы спутали с PsActiveProcessesHead....
EPROCESS IDLE? Это первоапрельская шутка чтоль? Процесса Idle не существует. То что можно увидеть в ProcessExplorer/TaskManager - это...
pushick Мне не нужен перехват функций, мне нужно "то глобальное место, где хранятся данные об окнах и их характеристики, хэндлы..."
а причем тут таблица хэндлов процесса и, тем более, shadow service descriptors table? меня интересует то глобальное место, где хранятся данные об...
При дизасме некоторых функций для работы с окнами из ЮЗЕР.ДЛЛ видно, что хэндлы окон "выуживаются" прямо сразу из памяти процесса. Это говорит о...
CyberMerlin А чем для защиты папок не устроили стандартные возможности NTFS? Вообще, доки по FATу есть здесь, на WASMе. По NTFS я тож откуда-то...
Ну а вообще, чтоб в коде не болталось просто так 256 нулевых байт, лучше место под эту переменную резервировать на лету (на стеке, к примеру)...
Кстати, не исключено. Где-то на форуме я давно поднимал топик, в котором у меня "потерялся" DebugObject. Оказалось ProcessExplorer вместе с...
Имена участников (разделяйте запятой).
