есть задача захватить дерево объектов для его дальнейшей модификации. ERESOURCE ObpRootDirectoryMutex не экспортируется ядром. может кто подскажет как решить эту проблемму?
Но это получается надо зашивать жесткое смещение относительно начала функции.Равносильно тому что посмотреть в символьном файле указатель на эту структуру Или можно как то по другому сделать?
Зачем сразу смещение? Поиск по маске отменили? 1) Находишь экспортируемую функцию, которая использует эту переменную 2) локализуешь в ней место ее использования 3) составляешь маску поиска из байт, лежащих в окрестности этого места Далее в программе прочесываешь память от начала этой функции до следующей и ищешь байты по этой маске. Выдираешь оттуда адрес переменной
Спасибо Great большое. к сожалению я пошел по другому более простому пути, но твоя идея мне понравилась! правда всегда нужно быть уверенным что на разных билдах окрестность будет совпадать
