>> Вопрос: что это за указатель и как я могу его найти ? Нужен минипорт. Указатель можно взять из MiniportInitialize...
проще на точку входа int 3 поставить перед запуском (если свою дебажите). Windbg исправно стопается. Можно при желании конечно и на...
Не приходилось разбираться с этой темой, но 0:000> x ntdll32!*Ldr*Import* 00000000`777de80d ntdll32!LdrpHandleOneOldFormatImportDescriptor = <no...
VMWare: CR3 value: 0x00122000 PAE: on OS version: 6.0.6001 SP 1.0 client VMWare: CR3 value: 0x00ae2000 PAE: on OS version: 5.1.2600 SP 2.0 client...
В этой книге http://www.books.ru/shop/books/331626 , расписано поэтапно создание процесса.
>> А как можно узнать или где то посмотреть,работа каких ф-ций зависит от этих структур? От каких, от RTL_USER_PROCESS_PARAMETERS? Ну например...
В сорцах win2k&nt4 есть, как и сами функции. ntgdi.h - nt4 ntuser.h - win2k http://rghost.net/2907305
>>а где узнать смещение элемента SeAuditProcessCreationInfo и смещение элемента Name в ней? В windbg dt _EPROCESS. Там и будет смещение. А в...
Можно так (vista,7,xp проверялось) EPROCESS.SeAuditProcessCreationInfo->Name.Buffer (нужно прописать смещение SeAuditProcessCreationInfo). Там...
>>как установить бряк в syser именно на ее драйвер? Насколько помню bpload имя_драйвера Это на саму загрузку. Дальше определяются адреса irpmj...
punxer В WRK этого нет, win2k.
>>знаем егоо номер, знаем что он больше 1000 Первая единица не входит в номер сервиса, она указывает, что сервисная таблица W32pServiceTable (и...
RtlLookupFunctionTable (full source ->wrk, правда там для ядра с PsInvertedFunctionTable) сначала находит описание модуля, в котором произошло...
Я правильно понимаю, что исключение произойдет в ntdll? Если так, то вызовется обработчик для функции ntdll из таблицы эксепшенов ntdll, а не...
>> DuplicateHandle если в системе установлен non-ifs lsp, то это не прокатит.
Имена участников (разделяйте запятой).
