Текущий архив: 2007.04.01;
Скачать: CL | DM;
Вниз
Как можно перехватить событие закрытия программы Найти похожие ветки
← →
Nemec © (2006-09-17 23:25) [120]Удалено модератором
Примечание: Offtopic
← →
Nemec © (2006-09-18 06:48) [121]Удалено модератором
Примечание: Offtopic
← →
Игорь Шевченко © (2006-09-18 10:23) [122]Ketmar © (17.09.06 10:50) [101]
> потому что Nt в конце-концов всё равно вызывают Zw.
С точностью до наоборот
← →
Eraser © (2006-09-18 11:37) [123]> [122] Игорь Шевченко © (18.09.06 10:23)
на сколько мне известно, точка входа у этих функций одна, просто при вызове nt проверяются параметры, так что трудно сказать кто-кого вызывает. Хотя могу ошибаться, Руссановича давно читал..
← →
Прочитавший ветку (2006-09-18 11:39) [124]Игорь Шевченко © (18.09.06 10:23) [122]
>С точностью до наоборот
А из каких, тогда соображений перехватывают Zw - функции, а не Nt ?
← →
Eraser © (2006-09-18 11:44) [125]> [123] Eraser © (18.09.06 11:37)
> точка входа у этих функций одна
только в пользовательском режиме естественно.
← →
Игорь Шевченко © (2006-09-18 14:03) [126]Прочитавший ветку (18.09.06 11:39) [124]
> А из каких, тогда соображений перехватывают Zw - функции,
> а не Nt ?
Если кто пройдет TDump"ом по ntdll.dll, то он увидит, что и Zw- и Nt- функции имеют одинаковый адрес. Поэтому выбор семейства функции для перехвата диктуется исключительно религиозными соображениями.
Мой пост [122] относился к дальнейшему пути выполнения этих функций, так как в ntoskrnl.exe тоже существуют Zw- и Nt- функции. Так вот, Zw как раз и вызывают Nt. В ядрес.
← →
Ketmar © (2006-09-18 14:19) [127]> [126] Игорь Шевченко © (18.09.06 14:03)
может и так. давно смотрел. каюсь. %-)
← →
Дракон (2006-11-17 23:18) [128]Удалено модератором
Примечание: Offtopic
Страницы: 1 2 3 4 вся ветка
Текущий архив: 2007.04.01;
Скачать: CL | DM;
Память: 0.73 MB
Время: 0.054 c
