Пытаюсь переделать пример из статьи Ms-Rem про перехват в нулевом кольце. Подскажите, есть ли возможность убить процесс, имея указатель на него в EPROCESS? Или нужно убивать все потоки процесса? При попытке убить другими средствами вылазит сообщение о том, что не хватает привелегий.
Ms-rem вызывает все ф-ции из ring0 вставками на асме типа: Код (Text): Procedure DisableHDD(); Procedure Ring0Call; asm mov al, $0E6 mov dx, $1F7 out dx, al ret end; begin CallRing0(@Ring0Call, nil); end; Если не лениво, может кто накидает как это будет выглядеть для ObOpenObjectByPointer и ZwTerminateProcess???
Vadim Хотябы написал из какого кольца юзается. Ms-rem этот код вызвал из юзермода с помощью шлюзов. 0FED уже сказал как должно быть.
