пятница, 21 февраля 2025 г.

Как потратить пару часов в попытке поймать запуск процессов внутри WSL

 Как поймать запуск процессов внутри WSL ? Казалось бы, ставь callback через PsSetCreateProcessNotifyRoutineEx2 , в callback 'е проверяй...
вторник, 3 декабря 2024 г.

Как понять, что файл находится внутри транзакции?

 Пусть у нас есть хендл файла, например 0xa4 По хендлу находим file object : 1: kd> !handle 00000000000000a4 PROCESS ffffa805650c2080    ...
вторник, 26 декабря 2023 г.

Что такое защита Object type в Patch-Guard?

Как известно, Patch-Guard защищает определенные критические части ОС , полный перечень тут:     0   : A generic data region     1   : Modi...
понедельник, 31 октября 2022 г.

Autochk и запись на диск

Забавный факт - если писать на диск данные во время работы Autochk, то система зависнет: Воспроизвести можно так: fsutil dirty set C: и пер...
понедельник, 17 мая 2021 г.

Как найти wpf callout's без анализа кода в дизассемблере?

Для начала пишем тестовый драйвер, который устанавливает пару callout's (через FwpsCalloutRegister0 ). Далее, просто перечисляем все тег...
понедельник, 27 июля 2020 г.

Может ли колбек PsSetCreateThreadNotifyRoutine выполняться на APC_LEVEL?

Msdn утверждает, что нет: https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/ntddk/nf-ntddk-pssetcreatethreadnotifyroutine Ре...
воскресенье, 21 июля 2019 г.

Обход Patch-Guard

Забавную штуку я обнаружил сегодня. То, что мы с Hex 'ом придумали больше 7ми лет назад внезапно всплыло в виде библиотеки на гитхаб: h...