BugTraq.Ru: форум / programming / [Win32] Это я глючу! И ведь никто не поправил...

информационная безопасность
без паники и всерьез

подробно о проекте

Spanning Tree Protocol: недокументированное применение

Анализ криптографических сетевых...

Модель надежности двухузлового...

Специальные марковские модели надежности...

50 лет Ethernet

Уязвимость в KeePass

Сравнение программистских навыков...

bugtraq.ru / форум / programming

Имя

Пароль


ФОРУМ


	все доски
	FAQ
	IRC
	новые сообщения

	site updates
	guestbook
	beginners
	sysadmin
	programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap

регистрация

Легенда:

новое сообщение

закрытая нитка

новое сообщение

в закрытой нитке

старое сообщение

Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
Новичкам также крайне полезно ознакомиться с данным документом.

[Win32] Это я глючу! И ведь никто не поправил... 24.10.02 10:53 Число просмотров: 1371
Автор: Zef <Alloo Zef> Статус: Elderman

<"чистая" ссылка>

> Делаю так:
>
> void CreateProcessNotifyRoutine(IN HANDLE ParentId, IN
> HANDLE ProcessId, IN BOOLEAN Create)
> {
> PEPROCESS curproc = NULL;
>
> PsLookupProcessByProcessId(ProcessId, curproc);
>
А надо так:
HANDLE ProcessId, IN BOOLEAN Create)
{
ULONG curproc;

PsLookupProcessByProcessId(ProcessId, (PEPROCESS*)&curproc);
Тока, вот бяка - указатель-то в контексте создаваемого процесса, а CreateProcessNotifyRoutine в родительском...
Как бы туда добраться? CreateProcessNotifyRoutine в ядреном драйвере так, что ReadProcessMemory мне оттуда не видно.
Как бы туда

Поиск

[Win32] Отследить запуск процессов R3 из ntoskrnl.exe? - Zef 09.10.02 07:22 [1487]
- [Win32] Отследить запуск процессов R3 из ntoskrnl.exe? - cb 09.10.02 12:16 [1534]
  - [Win32] Как оттуда получить имя процесса? - Zef 15.10.02 12:09 [1438]
    - [Win32] Как оттуда получить имя процесса? - cb 15.10.02 14:42 [1770]
      - [Win32] получение именибдиректории и коммандной ст... - beetle 16.10.02 23:21 [1438]
        [win32] process_environment_block где взять описание? (-) - Zef 17.10.02 09:41 [1302]
        [Win32] пожалуйста - beetle 20.10.02 02:32 [1359]
        [Win32] вот хороший ресурс [url] (-) - beetle 20.10.02 02:37 [1437]
        [Win32] Сенкс! Будем юзать... (-) - Zef 20.10.02 06:43 [1188]
        [Win32] cb принимай благодарность за хороший ресурс=)))) (-) - beetle 20.10.02 13:44 [1245]
        [Win32] PsLookupProcessByProcessId глючит - Zef 20.10.02 13:08 [1377]
        [Win32] Это я глючу! И ведь никто не поправил... - Zef 24.10.02 10:53 [1371]
        [Win32] Это я глючу! И ведь никто не поправил... - cb 24.10.02 12:25 [1240]
        [Win32] Ты прав, я еще раз глючу! - Zef 25.10.02 07:49 [1989]
        [win32] peprocess, это че? pe-заголовок? - Zef 26.10.02 13:07 [2074]
        [win32] peprocess, это че? pe-заголовок? - cb 28.10.02 10:10 [1437]
        [Win32]Классный линк! интересно, что - Zef 28.10.02 11:52 [1331]
        [Win32] PsLookupProcessByProcessId глючит - cb 21.10.02 10:05 [1737]
      - [Win32] ZwQueryObject? В DDK help о нем ни слова... - Zef 16.10.02 04:39 [1307]
        [Win32] ZwQueryObject? В DDK help о нем ни слова... - cb 18.10.02 10:48 [1678]
        [Win32] Что это- PID, я понял, увы убив изрядно времени, - Zef 20.10.02 06:42 [1273]
        [Win32] ZwQueryObject? В DDK help о нем ни слова... - SerpentFly 16.10.02 14:03 [1333]

Page build time: 0 s

Design: Vadim Derkach