IceStudent Посмотрел на исходник, навскидку один вопрос появился. PVOID GetUserModuleHandle(IN PEPROCESS Process, IN PPEB Peb, IN PCSTR...
Мешают 2 вещи: во-первых не хочется делать отдельную dll. А во-вторых, честно признаюсь, я просто не понял твоё решение.
PROFi Я отказался от идеи создать поток напрямую. Главным образом потому, что мне нужно работать с юзермодным API. Вместо этого разделил задачу на...
Т.е. имеется ввиду хуканье функций типа чтение файла/реестра? Чтобы внутри посмотреть тред какого процесса её вызвал, а потом заставить его...
Сорри за глупый вопрос, ... а как это сделать? APC не предлагать, поскольку далеко не факт что в процессе имеется тред в alertable состоянии....
Спасибо, попробую. Хотя имхо этот код даже компилироваться не должен. Например, там объявлено PCONTEXT ctx86; т.е. ctx86 это указатель. Тем не...
Спасибо, я почитал. Однако статья не пролила свет на трабл с зависанием при вызове RtlCreateUserThread в kernel mode под XP. Работа с...
Архив не открывается, CRC error.
В аттаче мной правленный CreateThread.c Добавляю файл в проект alert'а, extern "C" HANDLE CreateUserThread( IN HANDLE hProcess, IN PVOID...
Здесь http://www.wasm.ru/forum/files/_1687450158__CreateThread.c есть пример, фактически то, что написано у Неббета. Я не смог этот код заставить...
Уже хорошо, что проблема воспроизводится. Я посмотрел, файл с тестовой прожкой был неоднократно скачан. Может ещё люди присоединятся к обсуждению...
Проверил. ZwAllocateVirtualMemory при инициализации без флага OBJ_KERNEL_HANDLE, после KeAttachProcess выдаёт ту же ошибку - C0000008.
Попробовал, не помогает. Также делал замену KeAttachProcess на KeStackAttachProcess (ранее кто-то указывал, что надо эту функцию использовать) -...
Подумал я над этой мыслью, вот что мне непонятно. Что если сначала вызвать KeAttachProcess, а потом процесс открыть без этого флага? Контекст...
К сожалению у меня исправленный test.c не завёлся. Симптомы те же, что и раньше.
Выкладываю. В архиве 2 компонента: юзермодная часть alert.cpp и драйвер. Внутри alert'а можно локально проверить вызов RtlCreateUserThread если...
Вобщем ... в одной стороны вроде ошибиться трудно. Код асмовый я привёл выше, запихиваем в стэк параметры, дальше call. Адреса коллбэка и самой...
Минимизировал код callback-а до __declspec(naked) proc() { __asm int 3; } Те же эффекты наблюдаются. Я вот подумал, а точно все ф-ии ntdll.dll...
Спасибо ! По RtlCreateUserThread, в драйвере: PEPROCESS pEProcess; HANDLE hThread = 0; CLIENT_ID cid; ULONG status;...
Параллельно прощупываю оба варианта: APC и создание треда черед вызов функции в ntdll.dll Второй мне кажется более предпочтительным, т.к....
Имена участников (разделяйте запятой).
