Это в ФАТ, в NTFS не так, там запись в таблице фалов лежит вплоть до выделения сей ячейки новому файлу. Лог транзакций... возможно. Надо копнуть....
Так я именно так и думаю, но не понимаю как сия тула находит кучу файлов (более чем в два раза больше чем я нахожу бегая по MFT), причем там есть...
Мне не понятен алгоритм поиска удаленных файлов. Перебираю все записи в MFT, нахожу удаленные и т.д. Но! Слил тулу...
Я нахожусь в контексте какого-либо процесса в кернеле (допустим перехватил АПИшку). Как определить является ли сей процесс дебаггером или нет...
Спасибо, поищу.
А гдебы про все эти умные вещи прочитать? Ну МСДН понятно, но может есть статьи где собраны способы перехвата апи в кернеле? Если нет -- то может...
Да, про опасность БСОДа на многопроцессорных системах я знаю. Резюме, если я правильно понял: - устанавливаем свой обработчик исключений -...
:-))) Да разобрались ведь уже. Дело было в запрете прерываний (cli) перед установкой хука. Т.к. некоторые куски кода были выгружены, то при...
Хм... А альтернатива сплайсингу через jmp или push какая? Перехват через SDT? Но его очень легко снять. Причем даже если драйвер налету...
ASM -- ваша стихия. Я в асме далеко не супер-пупер. lock -- я не знал сей инструкции. Теперь все понятно!
Да, меня тоже мучит этот вопросс. Видно в Висте добавили парочку проверок. По другому не могу объяснить.
Уж не сочтите за тупого зануду, но я ничего не понял. На какой код мне взглянуть и у чего префикс Lock?
И как же сию операцию атомарно задолбить?
От чорт! Т.е. чтобы хукнуть ф-цию, надо вначале обратиться к ее адресу, чтобы страницу если что достали, а потом уже запретить прерывания и...
Я тоже так думал. Тем более что хук я ставлю по запросу IOCTL из юзермода. Тока что спецом проверил IRQL, KeGetCurrentIrql выдала 0! Значит...
А почему она выдает FALSE для адресов ф-ций под XP, которые хукаются без проблем?
Дамп я не делаю, в WinDbg подключаюсь к виртуалке. !analyze -v подойдет? Ф-ции я перехватываю следующие: Все ф-ции для работы с реестром,...
Кто вернулся?
Перехватываю некоторые ф-ции вставкой джампа (естественно дизассемблирую и т.д.). Адреса ф-ций беру из SDT, а ее в свою очередь читаю и высчитываю...
И как ее отличить от WIN7 BETA? (http://msdn.microsoft.com/en-us/library/ms724833(VS.85).aspx) Потому как индексы у них отличаются (как минимум в...
Имена участников (разделяйте запятой).
