nt!PsSuspendProcess:
80607738 53               push    ebx
80607739 57               push    edi
8060773a 8b7c240c         mov     edi,[esp+0xc]
8060773e 8d9f80000000     lea     ebx,[edi+0x80]
80607744 8bcb             mov     ecx,ebx
80607746 e8c617f7ff       call    nt!ExAcquireRundownProtection (80578f11)
8060774b 84c0             test    al,al
8060774d 7426             jz      nt!PsSuspendProcess+0x3d (80607775)
8060774f 56               push    esi
80607750 6a00             push    0x0
80607752 eb09             jmp     nt!PsSuspendProcess+0x25 (8060775d)
80607754 6a00             push    0x0
80607756 56               push    esi
80607757 e89e48faff       call    nt!PsSuspendThread (805abffa)
8060775c 56               push    esi
8060775d 57               push    edi
8060775e e8384ef6ff       call    nt!PsGetNextProcessThread (8056c59b)
80607763 8bf0             mov     esi,eax
80607765 85f6             test    esi,esi
80607767 75eb             jnz     nt!PsSuspendProcess+0x1c (80607754)
80607769 8bcb             mov     ecx,ebx
8060776b e8d817f7ff       call    nt!ExReleaseRundownProtection (80578f48)
80607770 33c0             xor     eax,eax
80607772 5e               pop     esi
80607773 eb05             jmp     nt!PsSuspendProcess+0x42 (8060777a)
80607775 b80a0100c0       mov     eax,0xc000010a
8060777a 5f               pop     edi
8060777b 5b               pop     ebx
8060777c c20400           ret     0x4

nt!NtSuspendProcess:
8060777f 55               push    ebp
80607780 8bec             mov     ebp,esp
80607782 51               push    ecx
80607783 56               push    esi
80607784 64a124010000     mov     eax,fs:[00000124]
8060778a 8a8040010000     mov     al,[eax+0x140]
80607790 6a00             push    0x0
80607792 8845fc           mov     [ebp-0x4],al
80607795 8d4508           lea     eax,[ebp+0x8]
80607798 50               push    eax
80607799 ff75fc           push    dword ptr [ebp-0x4]
8060779c ff35587c5480     push    dword ptr [nt!PsProcessType (80547c58)]
806077a2 6800080000       push    0x800
806077a7 ff7508           push    dword ptr [ebp+0x8]
806077aa e83080f6ff       call    nt!ObReferenceObjectByHandle (8056f7df)
806077af 8bf0             mov     esi,eax
806077b1 85f6             test    esi,esi
806077b3 7c12             jl      nt!NtSuspendProcess+0x48 (806077c7)
806077b5 ff7508           push    dword ptr [ebp+0x8]
806077b8 e87bffffff       call    nt!PsSuspendProcess (80607738)
806077bd 8b4d08           mov     ecx,[ebp+0x8]
806077c0 8bf0             mov     esi,eax
806077c2 e80926eeff       call    nt!ObfDereferenceObject (804e9dd0)
806077c7 8bc6             mov     eax,esi
806077c9 5e               pop     esi
806077ca c9               leave
806077cb c20400           ret     0x4

• [Win32] Возможно ли остановить все потоки какого-н... - HandleX 31.01.05 15:11 [1113]
  • ntdll.dll::NtSuspendProcess() - leo 31.01.05 15:42 [1413]
    • Ох, вещь... А прототипы можно к ней? И обратной к... (-)  - HandleX 31.01.05 15:50 [1127]
      • Мог бы догадаться :) - leo 31.01.05 15:55 [1158]
      • И ещё: она в user mode вызывается? (-)  - HandleX 31.01.05 15:55 [1124]
        • Все что в ntdll.dll только для user-mode (подсисте... - leo 31.01.05 15:59 [1278]
          • Ну и напоследок: у замороженного таким способом пр... - HandleX 31.01.05 16:06 [1205]
            • В NT у процесса нет понятия "замороженности", и на... - leo 31.01.05 17:46 [1050]
            • Вроде можно - amirul 31.01.05 17:41 [1055]
              • А блокировка есть какая-нибудь перед перебором (дл... (-)  - HandleX 31.01.05 17:50 [1091]
                • Есть ExAquireRundownProtection - amirul 31.01.05 18:52 [1342]
                  • Всем спасибо, всё работает! 2 leo & amirul — many thanks!!! (-)  - HandleX 31.01.05 19:26 [1120]
              • Ты дизассемблировал или есть сорцы этой части W2K? (-)  - leo 31.01.05 17:48 [1148]
                • Дизассемблировал, потому как именно этой функции в... - amirul 31.01.05 18:49 [1317]
  • Одним думаю не получицца - Killer{R} 31.01.05 15:28 [1041]