Недавнее содержимое от Mad666

  1. Mad666
    Сообщение

    Чтение памяти модулей ядра

    Я так иделаю только мне надо сравнить то что есть на диске с тем что есть в памяти. С диском проблем нет - Гружу, релокаю. Потом начинаю по...
    Сообщение от: Mad666, 27 апр 2009 в разделе: WASM.NT.KERNEL
  2. Mad666
    Сообщение

    Чтение памяти модулей ядра

    Так все таки что не так с секцией PAGEVRFY в ntoskrnl.exe.
    Сообщение от: Mad666, 24 апр 2009 в разделе: WASM.NT.KERNEL
  3. Mad666
    Сообщение

    Чтение памяти модулей ядра

    Спасибо посмотрел. Немного не понял как она работает. Так например при адрессах ядра не чего не выводит, говорит 0 valid bytes. Вопрос темы...
    Сообщение от: Mad666, 24 апр 2009 в разделе: WASM.NT.KERNEL
  4. Mad666
    Тема

    Чтение памяти модулей ядра

    Хочу прочитать память модулей ядра. Делаю чтение по секциям с флагами IMAGE_SCN_CNT_CODE и не установленным флагом IMAGE_SCN_MEM_DISCARDABLE....
    Автор темы: Mad666, 24 апр 2009, ответов - 5, в разделе: WASM.NT.KERNEL
  5. Mad666
    Сообщение

    Воствновление регистра SYSENTER_EIP_MSR

    Всем спасибо за ответы! blast в ZW функциях KiSystemService, которую, например, можно получить перехватив любой Nt вызов и вернуться по стеку или...
    Сообщение от: Mad666, 11 фев 2009 в разделе: WASM.NT.KERNEL
  6. Mad666
    Тема

    Воствновление регистра SYSENTER_EIP_MSR

    Как сделать hook на sysenter это понятно. А вот как снять чужой не очень. Получаю msr[0x176] затем мне надо узнать реальный адрес KiFastCallEntry...
    Автор темы: Mad666, 10 фев 2009, ответов - 7, в разделе: WASM.NT.KERNEL