Форум: "WinAPI";
Текущий архив: 2005.03.27;
Скачать: [xml.tar.bz2];
ВнизКак мне узнать имя процесса по его Handel Я использую PSAPI.DLL Найти похожие ветки
← →
NikNet © (2005-02-11 17:13) [0]КАк ?
← →
Игорь Шевченко © (2005-02-11 17:51) [1]Встречный вопрос - а что это у тебя на сайте за объявление такое "Driver на Delphi + DDK за $20" ?
DDK стоит всяко дороже, уже не статью ли из RSDN ты продаешь ?
← →
NikNet © (2005-02-11 18:32) [2]Там чисты ДРАЙВЕР НА DELPHI + DDK для создание Драйвера!
на чистом DELPHI! без всяких ASM MASM ...!
Так же есть все Абсолютно все функций Native Api (Включая не док)
← →
VMcL © (2005-02-11 19:09) [3]>>Игорь Шевченко © (11.02.05 17:51) [1]
OFFTOPIC:
Да уж. Анкета автора внушает:
Login: NikNet
E-mail: NikNet@yandex.ru
Реальное имя: Аскар
Дата рождения: 25.01.1984 знак зодиака: Водолей
Город: Алматы
Пол: Мужской
Образование: высшее
Увлечения / хобби
Программист
Интересное о себе
Очень красивый
Пользуюсь успехом Девчонок (Лет от 14 - 27)
Очень хорошо знаю программирование
НУ да короче хватит и этого!
← →
kaZaNoVa © (2005-02-11 19:19) [4]NikNet © (11.02.05 18:32) [2]
дай пример поюзать: xaker_delphi_sys(наше доброе животное)mail.ru
← →
GanibalLector © (2005-02-11 19:20) [5]2 VMcL © (11.02.05 19:09) [3]
Ага ;) Особенно понравилось это :
Очень красивый
Пользуюсь успехом Девчонок (Лет от 14 - 27)
← →
Arazel (2005-02-11 19:46) [6]Я не давно сделал модуль над которым мучался целых три дня
этот модуль делает такие вещи Перехватывает функций API
все сделал на DELPHI все как надо работает и глобальнно
и не глобальнное!
Теперь проблемма вторая
Мне надо внедрить свой код в другую программу на DELPHI
и на диске а не в памяти!
Если поможите Я вам этот драйвер целиком подарю! С DDK(шками)!
Вам хорошо вы бесплатнно сидите а я платно да ещё и единички
кончаются :( где-то два часа осталось вот иза этого и быстро
пишу (Без ощибок!... :D)
Ладно гудбай!
Если поможите на мыло скинете...
Не пожалейте!
← →
kaZaNoVa © (2005-02-11 19:48) [7]Arazel (11.02.05 19:46) [6]
я внедрял .. поищи по форуму "поток без длл ..."
← →
kaZaNoVa © (2005-02-11 19:49) [8]Arazel (11.02.05 19:46) [6]
> Мне надо внедрить свой код в другую программу на
>DELPHI
> и на диске а не в памяти!
упс, не посмотрел, тебе на диске надо??
- бред ... имхо вирус ...
← →
Eraser © (2005-02-11 19:57) [9]NikNet ©
Как мне узнать имя процесса по его Handel Я использую PSAPI.DLL
GetModuleFileNameEx
Пользуюсь успехом Девчонок (Лет от 14 - 27)
Сразу бы писал от 5 до 50 )))
← →
Arazel © (2005-02-11 20:08) [10]Вот корочий мои модуль для начало!
unit ExeImg;
{
Модуль для работы с PE файлами
Avtor: Нуржанов Аскар
Mail : Arazel@yandex.ru
Web : Arazel.narod.ru
*************************************************************************************************
*********************************************CopyRight*******************************************
*************************************************************************************************
1) Автор библиотеки ExeImg.pas - Arazel (далее автор).
2) Все права на данную библиотеку принадлежат исключительно автору.
3) Вы имеете право использовать данную библиотеку ИСКЛЮЧИТЕЛЬНО В ОБРАЗОВАТЕЛЬНЫХ ЦЕЛЯХ.
4) Данную библиотеку ЗАПРЕЩЕНО использовать в незаконных целях
(создание вирумов, троянских программ и.т.п.), за любое незаконное
использование библиотеки АВТОР ОТВЕТСТВЕННОСТИ НЕ НЕСЕТ.
5) В случае использования библиотеки в коммерческих целях (shareware программы и.т.п.)
вы должны согласовать этот вопрос с автором.
6) Любое из условий данного лицензионного соглашения может быть изменено автором
в следующей версии библиотеки.
9) Если вы не согласны с вышеприведенными условиями, то обязаны отказаться от
использования библиотеки и удалить её со всех имеющихся у вас носителей информации.
10) Несоблюдение данных условий может привести к уголовной ответственности по УК РФ.
Как со мной связаться:
Адрес странички - www.arazel.narod.ru
Мыло - arazel@yandex.ru
Пишите :))
a q\
}
interface
uses Windows,SysUtils;
const
{Сигнатура}
IMAGE_NT_SIGNATURE = $00004550; { PE00}
{ Тип МАШИНЫ}
IMAGE_FILE_MACHINE_UNKNOWN = $000;
IMAGE_FILE_MACHINE_ALPHA = $184;
IMAGE_FILE_MACHINE_ARM = $1c0;
IMAGE_FILE_MACHINE_ALPHA64 = $284;
IMAGE_FILE_MACHINE_I386 = $14C;
IMAGE_FILE_MACHINE_IA64 = $200;
IMAGE_FILE_MACHINE_M68K = $268;
IMAGE_FILE_MACHINE_MIPS16 = $266;
IMAGE_FILE_MACHINE_MIPSFPU = $366;
IMAGE_FILE_MACHINE_MIPSFPU16 = $466;
IMAGE_FILE_MACHINE_POWERPC = $1F0;
IMAGE_FILE_MACHINE_R3000 = $162;
IMAGE_FILE_MACHINE_R4000 = $166;
IMAGE_FILE_MACHINE_R10000 = $168;
IMAGE_FILE_MACHINE_SH3 = $1A2;
IMAGE_FILE_MACHINE_SH4 = $1A6;
IMAGE_FILE_MACHINE_THUMB = $1C2;
{Под системы}
NATIVE = 1; {Не требует подсистемы (например драйвер устройства)}
WINDOWS_GUI = 2; {Выполняется в подсистеме Windows GUI}
WINDOWS_CUI = 3; {Выполняется в символьной подсистеме Windows(консольное приложение)}
OS2_CUI = 5; {Выполняется в символьной подсистеме OS/2 (только OS/21.x)}
POSIX_CUI = 7; {Выполняется в символьной подсистеме Posix}
type
{ DOS. EXE header }
PIMAGE_DOS_HEADER = ^IMAGE_DOS_HEADER;
IMAGE_DOS_HEADER = packed record
magic : WORD; { Подпись,признак EXE-программы }
PartPag : WORD; { Длина неполной последней страницы }
PageCnt : WORD; { Длина в страницах (512б), включая заголовок и последнюю страницу }
ReloCnt : WORD; { Число элементов в таблице перемещение }
HdrSize : WORD; { Длина заголовка в параграфах }
MinMem : WORD; { Минимум требуемой памяти за концом программы }
MaxMem : WORD; { Максимум требуемой памяти за концом программы }
ReloSS : WORD; { Сегментный адрес стека }
ExeSP : WORD; { Значение регистра SP }
ChkSum : WORD; { Контрольная сумма}
ExeIP : WORD; { Значение регистра IP }
ReloCS : WORD; { Сегментный адрес кодового сегмента }
TablOff : WORD; { Смещение в файле первого элемента таблицы перемещения }
Overlay : WORD; { Номер оверлея, 0 для главного модуля }
Res : packed array [0..3] of WORD; { Reserved words }
OEMID : WORD; { Идентификатор производителя }
OEMINFO : WORD; { Информация о пройзводителя }
Res2 : packed array [0..9] of WORD; { Reserved words }
NewHdr : Longint; { Смещение нового заголовка (PE HDR) }
end;
← →
Arazel © (2005-02-11 20:08) [11]{--------------------------------- Coff Header ---------------------------------}
PIMAGE_FILE_HEADER = ^IMAGE_FILE_HEADER;
IMAGE_FILE_HEADER = packed record
Signature : DWORD;
Machine : WORD; {Машина}
NumberOfSections : WORD; {Количество секторов}
TimeDateStamp : DWORD;{Временной штамп}
PointerToSymbolTable : DWORD;{Указатель на таблицу символов}
NumberOfSymbols : DWORD;{Количество символов}
SizeOfOptionalHeader : WORD; {Размер дополнительного заголовка}
Characteristics : WORD; {Характеристики}
{ Standard fields. }
Magic : WORD; {Всегда равно 010Bh}
MajorLinkerVersion : Byte; {Старшая версия линкера}
MinorLinkerVersion : Byte; {Младшая версия линкера}
SizeOfCode : DWORD;{Размер кода}
SizeOfInitializedData : DWORD;{Размер инициализированных данных}
SizeOfUninitializedData : DWORD;{Размер неинициализированных данных}
AddressOfEntryPoint : DWORD;{Адресс точки входа}
BaseOfCode : DWORD;{База кода}
BaseOfData : DWORD;{База данных}
{ NT additional fields. }
ImageBase : DWORD;{База образа}
SectionAlignment : DWORD;{Выравнивание секций}
FileAlignment : DWORD;{Выравнивание файла}
MajorOperatingSystemVersion : WORD; {Старшая версия ОП}
MinorOperatingSystemVersion : WORD; {Младшая версия ОП}
MajorImageVersion : WORD; {Старшая версия образа}
MinorImageVersion : WORD; {Младшая версия образа}
MajorSubsystemVersion : WORD; {Старшая версия подсистемы}
MinorSubsystemVersion : WORD; {Младшая версия подсистемы}
Reserved1 : DWORD;{Зарезервировано1}
SizeOfImage : DWORD;{Размер образа}
SizeOfHeaders : DWORD;{Размер заголовка}
CheckSum : DWORD;{Чексумма}
Subsystem : WORD; {Подсистема}
DllCharacteristics : WORD; {Характеристики}
SizeOfStackReserve : DWORD;{Размер Зарезервированого стека}
SizeOfStackCommit : DWORD;{Размер выделеного стека}
SizeOfHeapReserve : DWORD;{Размер Зарезервированной кучи}
SizeOfHeapCommit : DWORD;{Размер выделенной кучи}
LoaderFlags : DWORD;{Флаги загрузчика}
NumberOfRvaAndSizes : DWORD;{Number of RVA and Sizes}
ExportTableRVA : DWORD;{RVA таблицы экспорта}
ExportDataSize : DWORD;{размер таблицы экспорта}
ImportTableRVA : DWORD;{RVA таблицы импорта}
ImportDataSize : DWORD;{размер таблицы импорта}
ResourceTableRVA : DWORD;{RVA таблицы ресурсов}
ResourceDataSize : DWORD;{размер таблицы ресурсов}
ExceptionTableRVA : DWORD;{RVA таблицы исключений}
ExceptionDataSize : DWORD;{размер таблицы исключений}
SecurityTableRVA : DWORD;{RVA таблицы безопасности}
SecurityDataSize : DWORD;{размер таблицы безопасности}
FixUp_sTableRVA : DWORD;{RVA таблицы настроек}
FixUp_sDataSize : DWORD;{размер таблицы настроек}
DebugTableRVA : DWORD;{RVA таблицы отладочной инф.}
DebugDataSize : DWORD;{размер таблицы отладочной инф.}
ImageDescriptionRVA : DWORD;{RVA строки описани модуля}
DescriptionDataSize : DWORD;{размер строки описания модуля}
MachineSpecificRVA : DWORD;{RVA таблицы описания процессора}
MachnineDataSize : DWORD;{размер таблицы описания процессора}
TLSRVA : DWORD;{RVA области данных цепочек}
TLSDataSize : DWORD;{размер области данных цепочек}
LoadConfigRVA : DWORD;{RVA таблицы параметров загрузки}
LoadConfigDataSize : DWORD;{размер таблицы параметров загрузки}
BoundImport : DWORD;{Связанный Стол Импорта адресует и размер}
IATRVA : DWORD;{Стол Адреса Импорта адресует и размер}
IATDataSize : DWORD;{Адрес и размер Описателя Импорта Задержки}
RuntimeHeader : DWORD;{???}
Reserved5 : array[1..6] of DWORD;{Зарезервировано5}
end;
← →
Arazel © (2005-02-11 20:09) [12]PIMAGE_SECTION_HEADER = ^IMAGE_SECTION_HEADER;
IMAGE_SECTION_HEADER = packed record
Name : Packed array[1..8] of char;
VirtualSize : DWORD; {Размер секций в памяти}
RvaOffset : DWORD; {Виртуальный адресс}
SizeOfRavDATA : DWORD; {Размер секции на диске}
PointerToRawData : DWORD; {Указатель на RAV данных}
PointerToRelocs : DWORD; {Указатель на релокейшены}
PointerToLineNumbers : DWORD; {Указатель на номера строк}
NumberOfRelocs : WORD; {Количество релокейшенов}
NumberOfLineNumbers : WORD; {Количество номеров строк}
SectionFlags : DWORD; {Флаги свойств секции} (*
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Name несколько примеров из жизни:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.text - сюда Микрософт бросает выполнимый код
CODE - а Борланд любит это делать здесь
.icode - переходники импорта старых версий TLINK32
.data - Микрософт швыряет данные сюда
DATA - а Борланд сюда
.bss - неинициализированные данные (равна 0 в файле)
.CRT - инициализированные данные C/C++ от Борланда
.rsrc - ресурсы
.idata - секция импорта
.edata - секция экспорта
.reloc - таблица настроек
.tls - данные на базе которых Windows запускает цепочки
.rdata - отладочная информация
_FREQASM - посмотрите в KERNEL32, я думаю, и так понятно
PROTECTED - это взято из Хасповского сервера, вот так
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
SectionFlags
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
00000004h - используется для кода с 16 битными смещениями
00000020h - секция кода
00000040h - секция инициализированных данных
00000080h - секция неинициализированных данных
00000200h - комментарии или любой другой информации
00000400h - оверлейная секция
00000800h - не будет являться частью образа программы
00001000h - общие данные
00500000h - выравнивание по умалчанию, если не указано иное
02000000h - может быть выгружен из памяти
04000000h - не кешируется
08000000h - не подвергается к страничному преобразованию
10000000h - разделяемы
20000000h - выполнимый
40000000h - можно читать
80000000h - можно писать *)
end;
VAR
_File:FILE;
DosHdr:IMAGE_DOS_HEADER;
PeHdr:IMAGE_FILE_HEADER;
SecHdr:IMAGE_SECTION_HEADER;
OpenFile:Bool;
← →
Arazel © (2005-02-11 20:10) [13](*
|--------------------------------|-----------------------------------------|
| Для вируса (Вот это всё и надо менять) |
|--------------------------------|-----------------------------------------|
| Изменяемые значение | | Местонахождение |
|--------------------------------|-----------------------------------------|
| Address of Entrypoint | Адресс входа | Image File Hdr |
| Reserved1 (Метка ЗАРАЖЕНИЕ ) | Зарезервировано | Image File Hdr |
| Virtual Size | Размер секций в памяти| Section header |
| Size of Raw Data | Размер секций на диске| Section header |
| Characteristics | Флаги свойств секции | Section header |
|--------------------------------|-----------------------------------------| *)
{-------------------------------------------------------------------------------}
{Открытия (PE) файла}
Function OpenPeFile(FileName:STRING):BOOL;
{Чтение заголовка файла (DOS+PE)}
Procedure ReadHdr;
{Запись заголовка файла (DOS+PE)}
Procedure WriteHdr;
{Проверка секций + переход на секцию}
Function IsSection(Section:String):Bool;
{Чтение секций}
Function ReadSection(Section:Byte):Bool;
{Запись секций}
Function WriteSection(Section:Byte):Bool;
{Закрытия (PE) файла}
Procedure ClosePeFile;
{------------------------------------------------------------------------------}
implementation
VAR
BUFDos:array[1..SizeOf(IMAGE_DOS_HEADER)] OF BYTE ABSOLUTE DosHdr;
BUFpe:array[1..SizeOf(IMAGE_FILE_HEADER)] OF BYTE ABSOLUTE PeHdr;
BUFsec:array[1..SizeOf(IMAGE_SECTION_HEADER)] OF BYTE ABSOLUTE SecHdr;
Function OpenPeFile(FileName:STRING):BOOL;
Begin
OpenFile:=True;
Result:=True; {$I-}
ASSIGN(_File,FILENAME);
RESET(_File,1); {$I+}
IF IOResult <> 0 THEN
BEGIN
Result:=False;
OpenFile:=False;
Exit;
END;
end;
Procedure ReadHdr;
Begin
With DosHdr,PeHdr do
Begin
BLOCKREAD(_File,BufDos,SizeOf(BufDos));
Seek(_File,NewHdr);
BLOCKREAD(_File,BufPe,SizeOf(BufPe));
end;
end;
← →
Arazel © (2005-02-11 20:10) [14]Procedure WriteHdr;
Begin
Seek(_File,0);
BlockWrite(_File,BufDos,SizeOf(BufDos));
Seek(_File,DosHdr.NewHdr);
BlockWrite(_File,BufPe,SizeOf(BufPe));
end;
Function IsSection(Section:String):Bool;
Var
i:Byte;
Begin
i:=0;
Result:=False;
For i:=1 to PeHdr.NumberOfSections do
Begin
ReadSection(i);
IF Trim(SecHdr.Name) = Section Then
Begin
Result:=True;
Break;
end;
end;
end;
Function ReadSection(Section:Byte):Bool;
Var a:DWORD;
Begin
Result:=True;
IF (Section > PeHdr.NumberOfSections) or (Section = 0) Then
Begin
Result:=False;
Exit;
end;
Seek(_File,$3C);
BlockRead(_File,a,sizeof(a));
Dec(Section);
Seek(_File,(a+24+PEHdr.SizeOfOptionalHeader)+(SizeOf(SecHdr)*Section));
Blockread(_File,SecHdr,sizeof(SecHdr));
end;
Function WriteSection(Section:Byte):Bool;
Var a:DWORD;
Begin
Result:=True;
IF (Section > PeHdr.NumberOfSections) or (Section = 0) Then
Begin
Result:=False;
Exit;
end;
Seek(_File,$3C);
BlockRead(_File,a,sizeof(a));
Dec(Section);
Seek(_File,(a+24+PEHdr.SizeOfOptionalHeader)+(SizeOf(SecHdr)*Section));
BlockWrite(_File,SecHdr,sizeof(SecHdr));
end;
Procedure ClosePeFile;
Begin
OpenFile:=False;
CloseFile(_File);
end;
end.
← →
Leonid Troyanovsky © (2005-02-11 20:36) [15]
> NikNet © (11.02.05 17:13)
> КАк ?
Тот, кто передал хендл вполне может передать и имя.
Ну, а если дорого psapi, то можно хоть GetProcessId.
--
Regards, LVT.
← →
kaZaNoVa © (2005-02-11 20:50) [16]Arazel © (11.02.05 20:08) [10]
круто, респект!
← →
Piter © (2005-02-11 22:05) [17]NikNet © (11.02.05 18:32) [2]
Там чисты ДРАЙВЕР НА DELPHI + DDK для создание Драйвера!
на чистом DELPHI! без всяких ASM MASM ...!
судя по заданному вопросу - это все ты делал сам...
kaZaNoVa © (11.02.05 19:49) [8]
имхо вирус ...
имхо, 100%
← →
Arazel © (2005-02-11 22:07) [18]судя по заданному вопросу - это все ты делал сам...
Не совсем!
← →
Piter © (2005-02-11 22:16) [19]еще и иронии не понимаешь...
← →
Arazel © (2005-02-12 17:01) [20]А вообще лучше напишите в чем именно проблема.
Если ты емеешь виду ExeImg.pas то Я!
А если драйвер то я его купил с DDK!
И САМ ТАКЖЕ ДОБАВИЛ много чего туда!
← →
Kerk © (2005-02-12 17:11) [21]NikNet © (11.02.05 18:32) [2]
я вспомнил.. ты недавно свой сайт смешно рекламировал...
расскажи чего там в твоем ринг0 такого, что 7 баксов стоит?
GanibalLector © (11.02.05 19:20) [5]
Очень красивый
Пользуюсь успехом Девчонок (Лет от 14 - 27)
у него наверно 2 девченки было.. одной - 14, другой - 27 ))
← →
n0name (2005-02-12 18:24) [22]Давай поспорим Arazel что не АБСОЛЮТНО ВСЕ функции Native Api у тебя есть?
Arazel если интересна тема заражения PE-файлов пиши мне на мыло, не хочу засорять форум плохими исходниками :)
← →
n0name (2005-02-12 18:33) [23]Почитал исходник ExeImg(?).
Понравилось :) Долго смеялся над фрагментами кода :)
Таких перлов давно не видел :)
Автор показывает некоторые поверхностные знания.
Например:
" .reloc - таблица настроек
.tls - данные на базе которых Windows запускает цепочки"
Незнал что релоки можно назвать настройками :)))
Или TLS данными для запуска цепочек.
Автор "полно" описал возможные SubSystem :)
В общем, этот исходник не претендует ни на что.
← →
Kerk © (2005-02-12 18:43) [24]n0name (12.02.05 18:33) [23]
Незнал что релоки можно назвать настройками :)))
можно
описание PE выдрано из документа, который можно назвать классическим.
← →
Arazel © (2005-02-12 19:58) [25]Корочи в чом осебонсть этого Ring0
1) он работает с двумя таблицами
2) Он работает с IRQ Interrupt
3) Он защищается от DRWEB чтобы обеспечить устойчевость
4) Также он может работать ГЛОБАЛЬННО то есть у всех процессов!
5) и с него можно вызывать Native API
6) Он работает ниже уровня ДРАЙВЕРА!
7) На всех ОС (Win/3.1...2003)
8) В нем заложанные все функций IFSFN которые работают также в WinNT... (Кто привык к Win9x)
9) И многое другое!
← →
n0name (2005-02-12 20:16) [26]2Kerk:
Тыкни пожалуйста пальцем где релоки названы настройками?
В доках релоки называются "Base Relocations".
Inside Windows - An In-Depth Look into Win32 Portable Executable File Format - Part1/2
2Arazel:
А ты знаешь что ваше (25 пост) ты написал полный бред?
По нескольким пунктам:
1. Можно принять "Корочи в чом осебонсть этого Ring0" как особенности модуля работы в Ring0.
2. "1) он работает с двумя таблицами" - какими? не GDT, IRT случаем, если да, то есть ещё несколко(редно одна) LDT.
3. "3) Он защищается от DRWEB чтобы обеспечить устойчевость" - устойчивость?
4. "5) и с него можно вызывать Native API" - да будет тебе известно, что NativeAPI можно использовать и в Ring3
5. "6) Он работает ниже уровня ДРАЙВЕРА!" Эт как? Уровень драйвера(если можно так сказать) это Ring0(В винде). Самый низкий уровень.
6. "7) На всех ОС (Win/3.1...2003)" - Да ну. Ладно все ОСи это громко. Есть *nix, BeOS, *BSD, MacOC X, etc... Я прктически уверен что это не зароботает в Win3.11 и иже с ними, они 16 битные.
Это вкратце.
Но мне всё таки интересен этот комплекс, напиши мне. Я поделюсь с тобой тем, что ты хочешь.
P.S. Как ты закончил ВУЗ с таким русским ?? :)
← →
Kerk © (2005-02-12 21:01) [27]n0name (12.02.05 20:16) [26]
В доках релоки называются "Base Relocations".
я знаю как они называются.. но попробуй на русский перевести.. "релоки" - не катит.. это не по-русски.
← →
Arazel © (2005-02-12 22:10) [28]2Arazel:
А ты знаешь что ваше (25 пост) ты написал полный бред?
По нескольким пунктам:
1. Можно принять "Корочи в чом осебонсть этого Ring0" как особенности модуля работы в Ring0.
2. "1) он работает с двумя таблицами" - какими? не GDT, IRT случаем, если да, то есть ещё несколко(редно одна) LDT.
3. "3) Он защищается от DRWEB чтобы обеспечить устойчевость" - устойчивость?
4. "5) и с него можно вызывать Native API" - да будет тебе известно, что NativeAPI можно использовать и в Ring3
5. "6) Он работает ниже уровня ДРАЙВЕРА!" Эт как? Уровень драйвера(если можно так сказать) это Ring0(В винде). Самый низкий уровень.
6. "7) На всех ОС (Win/3.1...2003)" - Да ну. Ладно все ОСи это громко. Есть *nix, BeOS, *BSD, MacOC X, etc... Я прктически уверен что это не зароботает в Win3.11 и иже с ними, они 16 битные.
1) Выше биРи!
2) GDT,LDT и ещё забыл сказать таблица ПРИРЕВАНИЕ!
3) Просто DrWeb и другие защищают таблицу Вот этот модуль
и провывается сквозь них!
4) Есть Native которые запускаются только в Драйвере! даже в
Ring0 не вызывешь! драйвер работает боле ниже !
5 Ага Драйвер это ринг0! Я бы не сказал! попробуй изменить
физический размер памяти чтобы все OC видили например 256 ОЗУ
а 64! и ещё попробуй обратится к микрокоду HDD
Это все не документированно! просто нам мозги жували
что нижи драйвера не чего НЕТ! фигня полнейщая!
6) А не говорил про *nix... (Win/3.1...2003)
Windows! думаю не буду перечислять! так просто чучуть!
Win3.11,Win95,Win98,WinME,WinNT4,WinNT5,Win2000,WinXP,Win2003
По поводу моего русского!
У меня времени нет!
вы пишите на бесплатную связь
а у меня всего 47 единиц
так что поговорить нам не получится
скинь мне на мыло что-бы вследуйщи раз я мог стобой
переговорить Arazel@yandex.ru или NikNet@yandex.ru
А пока можешь писать в эту тему я чуть по поже зайду!
ЗАКОНЧИЛ ВУЗ - Матиматические системы счислени (Апаратное прог..)
← →
Kerk © (2005-02-12 22:12) [29]
> Это все не документированно! просто нам мозги жували
> что нижи драйвера не чего НЕТ! фигня полнейщая!
ты либо гений, либо совсем дурак.
← →
Piter © (2005-02-13 21:42) [30]Да стебается человек. Такие ошибки невозможно делать, кроме как специально
← →
xShadow © (2005-02-14 10:37) [31]Ниже драйвера (Ring0), это оно конечно можно прописать в MBR оттяпать чать физ.памяти и воткнуть асм. код
LOL
← →
Игорь Шевченко © (2005-02-14 11:56) [32]Господа, я напоминаю, что форум не для вирусописателей.
Страницы: 1 вся ветка
Форум: "WinAPI";
Текущий архив: 2005.03.27;
Скачать: [xml.tar.bz2];
Память: 0.59 MB
Время: 0.042 c