Доброго времени всем суток! Проблема такова: занимаюсь в данный момент, написанием чего-то вроде антируткита, в учебных целях (а именно курсовая работа). Соответственно пока драйвер, пишется пол win 7 в будущем хотелось бы перенести функциональность и на win 8. В данный момент есть необходимость, манипуляции со списками потоков планировщика. На васме есть старая статейкка, как это делать под xp и 2000, потестив те примеры, и где что-то допилив, получилось манипулизовать со списками, в частности получать указатели на EPROCESS данного треда и выводить именна процессов. Хотелосб бы научиться делать тоже самое на данный момент под win7. Очень хотелось бы получить хоть какую-то информацию по данной теме. Будь то адресс статейки, пример либо на словах что-нибудь. Интересно было бы узнать даже хотя бы то насколько сам механизм планирования в win 7 отличается от win xp. Буду благодарен любой информации!)). Заранее огромнейшее спасибо. P.S. Абсолютно понимаю, что по хорошему эти вещи нужно выискивать самому, дизассемблируя / отлаживая ядро и т.д. и т.п. Но к сожалению сроки мои сжаты очень, поэтому на данный момент как воздух нужно найти и использовать чей-то труд((. В будущем при переносе под win 8, в случае успеха, разбирать уже буду как надо, т.к. не буду ограничен в сроках. P.P.S. Еще подскажите пожалуйста кто знает ,есть ли какой другой способ, убить поток кернел драйвера, кроме, как исключения его из структур планировщика? P.P.P.S Если все получится, и будет кому интересно ,могу сделать статью или цикл, по антируткиту, думаю будет интересно, т.к. используются возможности аппаратной виртуализации, и на данный момент пытаюсь прикрутить Stoned Bootkit.
В данном разделе, это будет точно интересно! Так что пишите не стесняйтесь =) p.s. по устройству планировщика, от Microsoft естественно ни каких внятных данных не публикуется, ведь весь ядерный код - это "коммерческая тайна". Потому остается лишь самостоятельно восстанавливать структуры в ходе реверса, что занимает очень много времени. К сожалению в паблике, статьи, относительно win7 слишком поверхностные...
