ни у какого никаких идей? уже 5-ый час бьюсь)
IMAGE_SCN_LNK_NRELOC_OVFL ? "Расширенная" секция релоков? Нету. int FixReloc(PVOID Image, DWORD dwDelta) { ... PIMAGE_DOS_HEADER...
проблема с генерацией кода. часть кода идёт с рва, что позволяет потом настраивать через релоки, а часть (хз почему) - через статические адреса....
Ага, давай. Нашёл твою тему http://wasm.ru/forum/viewtopic.php?id=21856 - ты там затрагиваешь несколько интересующих меня вопросов, надеюсь они...
PsGetContextThread выдаёт контекст указанного потока через структуру PETHREAD... PsGetCurrentThread выдаёт эту структуру для текущей нити - это...
итаг через ZwSetContextThread нельзя менять ряд регитсров и флагов, eip также. Хогланд саааамую малость описывает эту технику) Ничего более...
имеется ... CONTEXT con; status = ZwOpenThread(&hThread, THREAD_ALL_ACCESS, &ObjectAttributes, &(pProcesses->Threads[i].ClientId)); if...
steelfactor - спасибо, у меня дамп вообще отключен был) n0name писал "ZwCreateThread деатачится от процесса. Когда пробуешь деаттачится, процесс...
steelfactor - сразу же ребут. без синего экрана n0name - не понял. если анлок и деаттач не делать, то ничего не вылетает...не совсем понял тебя...
из драйвера использую типичное KeStackAttachProcess для присоединения к процессу. далее идёт вызов функции ниже HANDLE CreateUserThread(IN HANDLE...
при запуске летит в бсод...арг-ты для функции должны же быть в userspace? у меня они определены до подключения к процессу. так понимаю их надо...
по этому адресу - обработчик сервиса zwcreatethread (у меня).
может туплю (спать хосется) )) описание функции NTSYSAPI NTSTATUS NTAPI ZwCreateThread( OUT PHANDLE ThreadHandle, IN ACCESS_MASK DesiredAccess,...
узнать какие параметры в какие регистры запихиваются в неэспортируемых функ-циях - только через дизасм этих функций можно?
хочу вызвать zwcreatethread из процесса, прежде приаттачившись к нему. одним словом - изучаю) адреса из ssdt я получаю...в ассемблере (синтаксис...
n0name - нет) меня сразу терзали подозрения на эту библиотеку, но с ней зато всё скосмилировалось))
ядром неэкспортируется, ntdll - да
тогда другой вопрос - а как использовать неэкспортируемые функции?) кроме использования прямой передачи параметров и вызов сервиса напрямую...хоть...
выползает ещё на одной функции - обе неэкспортируемы. вопрос - где порылась собака))
при запуске драйвера выдаётся такая ошибка error 127 "The specified procedure could not be found" выползает она на ZwProtectVirtualMemory -...
Имена участников (разделяйте запятой).
