rei3er, а ты свою собственную ОС пишешь, или под существующими работаешь? Вручную, в данном контексте значит "не прибегая к API системы". Поиск...
У меня есть и 16х SMP. "Тоже делаю все ручками"(с) Интересных скринов на эту тему давно не наблюдал. :)
FreeHunter, Аффтар, а как иначе мне называть человека, который пытается похучить SwapContext на PASSIV-е, не знает как используют DPC, и считает,...
Вобще то, SwapContext всегда и везде выполняется на SYNCH_LEVEL. То, о чем ты говоришь - частный случай для UP системы, там SYNCH==DISPATCH....
Twister, - угу, это самое реальное. Только опять же, структура очень зависит от версии. Nouzui, да я и сам не уверен на это счет :) Потому и...
1) ObReferenceObjectByHandle ObQueryNameString ObDereferenceObject 2) пробуй также. 3) потому что, чтобы удалить файл, достаточно его...
Twister , жжош :) нафига такие сложности? В отличии от W2K3, в XP действительно недокументировано поле KTRHEAD.Process Однако там есть...
Twister, и тем не менее у этого псевдопроцесса есть блок EPROCESS, который человек и хочет получить. Для чего ему это нужно, здесь не обсуждается....
Хм. У меня на W2k3 sp2 KTHREAD.Process находится по смещению 0х128 между UserAffinity и Affinity. На остальных чуть позже посмотрю...
Можно из текущего (из любого) KPRCB взять указатель на KPRCB.IdleThread а оттуда поле KTHREAD.Process. Только эти структуры очень зависят от...
Кроме NtCreateFile еще часто юзается NtOpenFile. Обе перечисленные функции - обертки вокруг IoCreateFile. Более целесообразно перехватывать...
Вот, я поднимал уже тему. Давно правда :) http://www.wasm.ru/forum/viewtopic.php?id=6794
IRP_MJ_READ конечно же вызывается. Но только один раз, для фрагмента не помещенного в кэш. Я отлавливал подобную ситуацию следующим образом:...
- этот вариант работает нормально. Только, и вправду, долго постоянно писать "(MYSTRUCT ptr [...". Но это уже вопрос удобства :) Всем...
Ну как же это нельзя? Теперь все указатели 64-битные. Значит mov rax,[rdx] корректно компилится и работает. И mov eax,dword ptr [rdx], тоже...
Ругается. syntax error : edx Что-то тут не так.
Странно, но MS никак не коментирует странное поведение ASSUME: http://msdn2.microsoft.com/en-us/library/kx3dscek(VS.80).aspx Кроме того, ASSUME...
Могу бинарники в ZIP запаковать и выложить где-нить, метров 7 получится. Либы все в DDK к w2k3 есть.
Вопрос к знатокам MASM64. Имеем структуру типа: mystruct STRUCT member1 DWORD ? member2 DWORD ? mystruct ENDS необходимо обратиться,...
Visual тормознутый какой-то, Windbg субъективно по-шустрее работает. Тоже скучаю по нормальному SoftIce-у. Но что делать? AMD64 :(
Имена участников (разделяйте запятой).
