пятница, 23 марта 2012 г.

PsIsProtectedProcess on w8

Now code for PsIsProtectedProcess looks like:

  mov     edi, edi
  push    ebp
  mov     ebp, esp
  mov     eax, [ebp+arg_0] ; PEPROCESS
  movzx   eax, byte ptr [eax+2D0h] ; PEPROCESS.SignatureLevel
  and     eax, 1
  pop     ebp
  retn    4


So under w8 there is no more ProtectedProcess flag
Автор: redp на 15:46
Ярлыки: ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)