увидел. я просто хотел рассказать людям, которые прочитают это в будущем, как решить более общую задачу. себе я просто скопипастил.
Ну вобщем я обошелся сохранением проекта в idc файл, это текстовый скрипт всего проекта. Потом через idc command можно импортировать и выполнить...
а как? просто я никогда ничего для иды не писал. ну в общих чертах. n0name как вы сами это делаете?
Разбираю софтину состоящую из кучи дллок. В проекте одной дллки разобрал структуру, хочу ее скопировать в другой проект. Вообще есть какой-то...
В процессе исследования одной программы понадобилось определить алгоритма расшифровки одного файла. Использую WinDbg. Нашел где файл мапится в...
В общем разобрался сам. Для ZwEnumerateKey нужно выделять большой буфер чаров размером 1024 байта а потом преобразовывать его в...
Перечисляю я подключи \\Registry\\User с помощью ZwEnumerateKey, в параметрах указана KeyBasicInformation. На пожкдючах .DEFAULT S1-... 18 --...
Это мне не помогает, из-за того, что все запускается нормально, но винда не может удалить device.
Есть драйвер, создающий для связи с юзер-мод девайс и символическую ссылку. RtlInitUnicodeString(&DeviceName, dDeviceName);...
В юзер моде я бы определил sid процесса, создал SecurityObject для key реестра и так далее. А в кернел моде? Кто-нибудь этим занимался? Какие...
Ну да, что-то типа проактивки. Вроде я сделал правильно - останавливаю вызовы API с помощью KeWait... и добавляю их в конец списка. А разбираю...
Сорри, LIST_ENTRY - это моя структура на самом деле она не так называется. Отредактировал свой первый пост.
Объявил я структуру MY_LIST_ENTRY в которую поместил в качестве поля KEVENT, структуры помещаю в список какой-то неважно. typedef struct...
ээээ..... а как с помощью метода "Изменение прав доступа существующего хэндла" можно анлокить файлы? Можно анлокнуть хэндл и таким образом...
спасибо! я правда уже написал, что саспенд все равно работает не так, как я ожидал :) вообще он и не нужен оказался, просто решил поделится...
для начала попробую отмапить в память, вроде это самый правильный вариант.... целиком в память загружать как-то стремно, хотя.....
проблема была именно из-за перехвата NtOpenProcess, точнее из-за такого кода в нем: if ((ULONG)ClientId > *MmUserProbeAddress) return...
Нужно мне сделать драйвер, который загружает 20 Мб файл и периодически в нем ковыряется. Писать в файл не нужно, только читать. Это вообще...
Есть способ и получше чем дергать все треды - NtSuspendProcess(HANDLE hProcess); но почему то не открывается процесс через ZwOpenProcess код...
Имена участников (разделяйте запятой).
