im1111 Большое спасибо за пояснение. Теперь почти все понятно. Вот только по поводу обхода все же не совсем ясно:
Тогда если у каждого списка процессов свой список хэндлов - то почему в списках какого то чужого процесса будет скрываемый процесс??? И тогда...
Прочитал статью "Обнаружение скрытых процессов" и возникло несколько вопросов по поводу "Получение списка процессов просмотром списка таблиц...
На то он и PageFault - появляеться внезапно и грубо и фиг каким try/except защитися. У меня заработало!!! По совету Great я перепроверил все...
спасибо, Great, произвел изменения: typedef int (__stdcall *customAtoi)(const char*); NTSTATUS __stdcall DriverEntry(IN PDRIVER_OBJECT...
Я проверяю - там не ноль точно. Я в дебаг все вывожу. Это урезанная версия, результат правльный функция дает. Вылетает после DriverEntry....
Второе ядро я загрузил затем что мне нужны копии кода некототорых функций из ntoskrnl.exe. Имя я не менял - гружу как файл ручками и настриваю...
Мучаюсь целый день с одной ошибкой - в DriverEntry загрузил ядро с диска , настроил релоки(таблицу импорта не трогал). Нашел адрес функции atoi и...
получаеться нельзя скопировать загруженное ядро целиком?
Ну вот :( Придеться похоже с диска читать. Great большое спасибо за то что помог разобраться, к сожалению ничего кроме спасибо предложить не могу :(
Да, именно она.... Старнно получаеться - ядро может быть загружено не непрерывным куском памяти?
Мне нужна полная и точная копия ntoskrnl загруженного в память. Вот собственно стек вызовов: LAST_CONTROL_TRANSFER: from 805328e7 to 804e3b25...
Конечно не смотрел, я же beginner.... Вот теперь посмотрел: PAGE_FAULT_IN_NONPAGED_AREA (50) Invalid system memory was referenced. This cannot...
Похоже на правду: Ntoskrnl.exe Image Address = 804D7000 Size = 2182784 При появлении BSOD пишет Page Fault in Non Paged Area.
проверка возвращаемых значений, и SEH фрейм вокруг MmProbeAndLockPages у меня есть, просто не запостил, чтобы не загромождать пост... Вот...
Из драйвера нужно прочитать память ntoskrnl.exe и сделать ее копию. С помощью ZwQueryInformation я нашел адрес по которому он загружен и его...
Вопрос почти решен : прочитать /proc/net/dev там куча инфы, осталось нати только пропускную способность канала...
спасибо за быстрый ответ.... Хтя хотелось бы узнать просто может есть какая-нибудь стандартная библиотека с необходимыми мне функциями, или файлик...
Как программно в Unix системе (а точнее даже Linux ) получить список присутствующих сетевых соединений и их параметры. Ну или хотя бы просто...
А есть ли дизассемблер какой-нибудь с открытым кодом? Ну или какая-нибудь табличка опкодов - хорошо организованная чтобы несложно было ее...
Имена участников (разделяйте запятой).
