офф: x64, почему комменты отключены в блоге? раньше же вроде как было..
Можно и через пул, тем более что FILE_OBJECT'ы довольно просто идентифицируются, да и перезагрузка не требуется. Кстати, файлы $MFT довольно легко...
Это тоже самое, о чём Cr4sh написал. Почитай msdn. С ддк идёт утилита - gflags.exe. Там выстави FLG_MAINTAIN_OBJECT_TYPELIST. Если утилиты нет,...
На самом деле есть документированный работающий способ: установить в gflags 0x4000, а затем вызывать ZwQuerySystemInformation c параметром...
Во-первых, ZwQuerySystemInformation не даёт информацию обо всех открытых хэндлах в системе. По моим наблюдениям, с помощью...
Беда Ваня. Тебе нужна KeServiceDescriptorTableShadow. Она не экспортируется, но найти легко. Имхо самый простой способ - разбор...
Спасибо, я в курсе. Дело в том, что разговор зашёл о глобальных хуках и я усомнился, на самом ли деле это драйвер-фильтр в привычном смысле слова....
Это зависит от того, откуда оно вызывается. Конечно, если в процедуре обработки прерывания вызывать - то работать не будет. Точнее, будет, но...
Куда уже подробнее? NtUserSetWindowsHookEx Вообще моё мнение - ваш вопрос вызван глобальным нежеланием что-либо сделать самостоятельно. Содрали...
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Debug Print Filter
Когда-то я дебажил железную машину через COM порт. Вот это тормоза! Сейчас отлаживаю драйвера через 1394, никаких проблем. Конечно, когда сыпется...
Для таких случаев есть чудесные отладочные макросы, типа ASSERT, PAGED_CODE и т.п.
Ну это как бы похоже на адреса внутри ntoskrnl.exe. Что по ним? ;)
Читайте внимательно документацию - укажите относительное время. Также почитайте, что вам x64 написал - возможно вам не нужно вручную каждый раз...
Я совершенно точно понял, что ты хочешь. "Настоящие" функции будут находится в секциях .text, PAGE и им подобных, причём у таких секций будет...
Так это. if ( !(Section[i].Characteristics & IMAGE_SCN_MEM_EXECUTE ) ) skip;
KeStallExecutionProcessor выполняется на любом IRQL. В частности, я пробовал вызывать на IPI_LEVEL, на Win7. Ради интереса посмотрел код...
Если код выполняется на PASSIVE_LEVEL, то система сама позаботится о подгрузке сброшенных в файл подкачки данных. Чтобы не возникло вопросов, что...
Юникод строчки как правило не нуль-терминированы, и выводятся через %wZ. Но мало ли, автор у себя обнуляет буфер. А вообще х64 прав.
А где код GetObjectName? Предположу, что валится именно там. К тому же, далеко не все объекты ядра именованные. Давай сюда код и !analyze -v.
Имена участников (разделяйте запятой).