Суть: Way 1: 1. Обнуляем содержимое файла на низком уровне в обход ФС 2. Смотрим через ReadFile = пустой файл. То, что нужно. Way 2: 1. Смотрим...
ht1515 Правильно распаковывать вручную. Твоя задача - брякнуться на OEP (или дошагать до нее), сделать дамп, исправить импорт. Все подробно...
Некропостинг, конечно, но проблема остается. Работает ли NtLoadDriver под вистой и семеркой из юзермода? Все мои попытки заканчивались...
"подводные камни" - это помехи, даже на кабеле в 10 метров. проверено на проекторе.
Советую начать со скачки HIEW (QVIEW) интеловских мануалов (253666.pdf, 253667.pdf).
В ДебагВью включить вывод сообщений ядра.
GMax Вот спасибо, хоть так. Отличный цикл статей.
Проблема решена. Кому интересно - здесь отличный материал по теме. С исходниками.
Начинать нужно с описания PE-формата и со статей volodya сотоварищи. Все есть на сайте. Статьи: уно дуо Описание PE-формата: тут P.S. Кстати,...
hack_virii Спасибо, уже читал. Именно по статьям Криса и написал парсер NTFS.
Forever Делаю так: if (uClassReadWriteAddr) { memset(pBuffer, 0, Length); pIRPRW=IoBuildSynchronousFsdRequest( IRP_MJ_READ,...
Коллеги, никто не покажет кусок кода для формирования IRP для последующей передачи в ClassPNP!ClassReadWrite? Известно: адрес ClassReadWrite,...
reverser Спасибо!
Здравствуйте. Пытаюсь получить MFT-Record, код следующий: ns=ZwFsControlFile( hVolume, //Handle NULL, //Event NULL,...
o14189 Спасибо. Попробую с ZwDeviceIoControlFile.
n0name Это понятно. Вопрос в том, как подключить windows.h совместно с ntifs.h. Они, видимо, несовместимы.
o14189 Мне надо отправить FSCTL_GET_NTFS_VOLUME_DATA физическому диску. Есть другие способы?
Great Подскажи, как описать ф-цию DeviceIoControl в драйвере, если подключен ntifs.h, у меня не получается.
Спасибо. Попробую - отпишусь.
Forever Спасибо! Первый вариант использовать не буду, т.к. сервисы/функции могут быть перехвачены, а мне интересно прочитать "as is". Сейчас...
Имена участников (разделяйте запятой).
