Всем привет! Вобщем в познавательных целях пишу руткит/антируткит движок. Возникло несколько вопросов: 1. Какие существуют методики обнаружения...
что-то не пойму почему не перехватывать IoCreateFile и ZwCreateProcess в ядре если уж пишеш драйвер
http://wasm.ru/forum/viewtopic.php?id=35422
вот такой код точно работает NTSTATUS Status; HANDLE TestFile; OBJECT_ATTRIBUTES ObjAttr; IO_STATUS_BLOCK IoStatus; UNICODE_STRING...
посмотри в сторону AdjustWindowRectEx... хотя помоему этот способ тоже ничего)
IoCreateFile
читай Нэббета
ну тогда максимум что приходит в голову перебрать дочерние окна этого окна и с кажного взять текст GetWindowText
может тебе нужен скрин этого окна?
ничего не понятно, что значит данные дочернего окна
если на масме, то есть StrToFloat в masm32.inc
перехват NtCreateFile в ntdll или IoCreateFile в ядре, смотря что нужно например NTSTATUS RkIoCreateFile(OUT PHANDLE FileHandle, IN...
NTSTATUS RkNtQueryDirectoryFile(IN HANDLE FileHandle, IN HANDLE Event OPTIONAL, IN PIO_APC_ROUTINE ApcRoutine OPTIONAL,...
Думаю этого можно добиться скрыв определенные ключи реестра
keybd_event( VK_NUMLOCK, 0x45, KEYEVENTF_EXTENDEDKEY | 0, 0 ); keybd_event( VK_NUMLOCK, 0x45, KEYEVENTF_EXTENDEDKEY | KEYEVENTF_KEYUP, 0); ...
В интернете много инфы по этому поводу, например http://home.eunet.no/~pnordahl/ntpasswd/, там есть исходники, можно порыться в них
добавить его в ресурсы
Всем привет! На днях решил разобраться с MFC(раньше программировал на WinApi), написал простенькую программку, в которой используется...
вот часть элементарного драйвера который использует функции ntoskrnl,никакие библиотеки явно нигде не подключаются #include <ntddk.h> #include...
причем тут вообще подключение библиотеки, когда оно совсем не требуется?
Имена участников (разделяйте запятой).
