Добрый день. Подскажите каким образом можно организовать инжект длл или куска кода а потом запустить юзермодный трид и сделать все это с драйвера? Apc + шелкод? Поделитесь простеньким примером, спасиб.
старт юзермодного кода: - APC, но первый пример который в голову придет он не особо хороший будет, чтобы нормально переносимо сделать надо извратиться - если не юзается csr-зависимых апишек типа гуя, старта процесса/потока и некоторых других, то вполне сойдет NtCreateThread без уведомления csrss. - можно особо извратиться с уведомлением csrss - можно подменять контекст ready-потока инжект для начала сойдет тупой MmMapLockedPages.
