Вопрос в названии топика конечно основная задача, но хотелось бы разузнать об этом все, а именно: 1) Зачем нужны названия секций? Они носят информационный характер, или служат как метки для некоторых функций? 2) Знаю что можно получить название через api ZwQueryVirtualMemory с инфоклассом MemorySectionName, но где имеено хранится название ? Откуда ZwQueryVirtualMemory дергает инфу? 3) Если всятаки возможно стереть названия секций, то будут ли последствия ? Спасибо за внимания
Они носят информационный характер, или служат как метки для некоторых функций? информативный, но некоторые особо "талантливые" друзья часто делают к ним привязку
Исходное название инфокласса MemoryMappedFilenameInformation. Имя файла извлекается следующим образом: Код (Text): Vad = EPROCESS.VadRoot.BalancedRoot.RightChild; FilePointer = Vad->ControlArea->FilePointer; Далее из обьекта извлекается имя: Код (Text): Status = ObQueryNameString (FilePointer, (POBJECT_NAME_INFORMATION) MemoryInformation, MemoryInformationLengthUlong, &LocalReturnLength);
