Добрый день ))) Кто-нибудь пробывал получить объекты ядра с помощью устройства device\physicalmemory или иным способом? цель: получить список объектов ядра из юзер-мода (с правами админа) в обход NTQuerySystemInformation (она перехватывается руткитом) Поделитесь мыслями, плиз. ОС: Windows >= v5.0
gloomyraven 5.2 SP0 — последняя версия, в которой допускался доступ к Device\PhysicalMemory из user mode.
так, ладно, тогда немного оффтопа, как получить инфу об объекте "процесс" для своего процесса? ZwQueryObject? Нужно определить "счетчик пользователей" моего процесса.
Все, тему можно закрыть, разобрался. Спасибо, l_inc, что уберег меня от кучи зря потраченного времени.
Пробовали. Есчо юзермодную память читали, модифицировали ядро, дескрипторные таблицы, работали с шадовом etc. Сурсы рулят всёже, как и RCE.
