Clerk Была такая инфа, что EP_X0FF продал какие-то свои разработки MS. Но то, что в данный момент он там работает сомнительно, хотя это точно может только сам он сказать.
> По мойму я лучше расписал ну дык, у вас разные цели. ты с технической, а он с "моральной". типа это уже 15 лет всё известно, а они такие подлецы даже копирайтов не наставили. > Это правда что EP_X0FF на MS работает ? насколько я помню, эмулятор клепали им. сейчас - хз.
Clerk Вы можете его самого распросить, у него теперь ник DiabloNova, проще всего его найти на http://www.kernelmode.info/ это его форум.
Ev0lwaves Ясно, спасибо. n0name Нашёл там описание оО(по линку Ev0lwaves): Код (Text): Re: KHOBE – 8.0 earthquake for Windows desktop security soft by EP_X0FF » Fri May 07, 2010 3:05 am We have 2 threads. First thread calling service (for example NtTerminateProcess) without required rights, so NtTerminatProcess gives you STATUS_ACCESS_DENIED. Second thread suspends first, frees handle and opens target process. Handle value will be the same. After this we resuming first thread. So TrueNtTerminateProcess(hProcess, ExitStatus) will get different process handle. When acquiring a resource while running in not system thread and runs at passive level we need to disable kernel APCs. Otherwise any user mode code can call NtSuspendThread which is implemented as call to PsSuspendThread->KeSuspendThread where all job is done with (see below), and suspend the thread while having a resource acquired. .. This is potential deadlock btw. Practically usefulness of this Matousec discovery is doubtful. I believe this can be easily fixed. Походу с моего перевод Не понятно изза чего столько шума наделали. В race condition ничего не обычного нет. Мы это с Грейтом кстате юзали чтобы память лочить из юзермода: http://virustech.org/f/viewtopic.php?id=121 http://files.virustech.org/indy/Code/SuspendApc/
это не его форум, а форум автора radix'a, afaik. из-за пиара и громких слов, которые являются пустышкой
