NtProtectVirtualMemory из kernel для юзерских страниц

x64
Ядро NT посроено таким образом, что в экспорт вынесена лишь незначительная часть функционала. Таже MiProtectVirtualMemory не экспортируется, а значит с вашей точки зрения не документировано. Согласен, используя только то что экспортируется и документировано код получится кривой на двацать страниц. Это никому не нужно, главное чтобы работало стабильно, была совместимость и размер не большой. Что не документировано, асм вставки и прочие вещи которые сишнику не нравятся это только его проблемы. Так что вы не в теме.
Вам и не только изучать этот топик http://wasm.ru/forum/viewtopic.php?id=34151 до полного просветления. KiDebugRoutine в данный момент рулит, большое число нотификаторов< калбэков и прочего можно использовать.
Вы токо в фильтрах файловой системы разбираетесь, и то на относительно высоком уровне, а к этому тут редко прибегают ибо никому не нужно.
SashaTalakin
Тебя разбанили.. это не надолго.)

 

Это, к сожалению, не только моя точка зрения.

Не очень понятно, с кем ты в этом согласен, но выделенное - ошибочно.

 

x64
Clerkу, видимо, интересно лишь копаться в недрах ядра, а навыков писать драйвера как в мсдн писано, нет. Вот и применяет то, что имеет.

Clerk

Первый раз слышу требование на софт "размер небольшой". 20кб или 420кб не имеет никакой разницы.
Быть может ты про написание троев? Так это совсем другое и не стоит мешать разное в одной тарелке. Вот и получился спор ни о чем

 

Great
Покажите мне где в мсдн написано как легально отследить загрузку моделуй(загрузку а не маппинг файловых секций) юзермодным лоадером ?

 

В ядре это просто не нужно, т.к. в ядре нет такого понятия как "модуль". В режиме же пользователя существуют нотификаторы (начиная с Vista только), или можно воспользоваться отладчиком (WaitForDebugEvent, LOAD_DLL_DEBUG_EVENT, ...), но вообще-то это всё не нужно, потому как Microsoft разрешает перехватывать API-вызовы в приложениях (методом сплайсинга, например).

 

x64
Нужно не нужно похую, автор топика задал чёткий вопрос, так что дайте метод. Никакие извращения с отладчиком и перехватами тут не нужны.

 

Автор далбайоп, а методы я тебе уже сообщил: либо колбек на секции в ядре, либо хук на LdrLoadDll (или что там пониже?) в режиме пользователя. Это единственно правильные и поддерживаемые Microsoft'ом решения, всё остальное от лукавого и в коммерческом продукте недопустимо.

 

x64
Ыыы. Давно с вас не смеялся так.)

 

Пока ты смеёшься, другие делают деньги и получают удовлетворение от того, что их продукт работает в любой конфигурации уже много лет.

 

Clerk
Веди себя культурно

 

Great
Жду твоё решение, не культурно от ответа уходить.

 

я не буду поддерживать бессмысленную беседу, ты и сам знаешь, что я тебе что-нибудь отвечу, потом ты начнешь придираться к любой мелочи и дальше пойдет еще более бессмысленная беседа. а тему я закрою скоро

 

+1

 

Я не буду больше нискем спорить, используйте что хотите. Только не забывайте цель драйвера.

 

Хорошо, в этом случае топик закрываю. По-любому, изначальная тема была не о том.