__MAX__ При том, что на текущем уровне SFN нотифи аллокация памяти и прочие действия с адресным пространством не доступны, это приведёт к...
__MAX__ Stack Frame Number.
dcLout Поэтому и будет удалена =)
Топик ниочём.
__MAX__ Отслеживание бесполезно в данном случае. ТС необходимо не только отслеживать, но и выполнять некторые действия с адресным пространством,...
__MAX__ Тогда не универсально. Вы не сможите отследить создание процессов ядром(PsCreateSystemProcess() etc).
__MAX__ Так вы предлагаете юзать в драйверах юзермодные потоки =)
__MAX__ Ну мб и проще. Только тут раздел NT.KERNEL и не все задачи решаются через апк. У ТС стандартная задача.
ntdrivers Также как и в юзермоде. Только необходимо идентифицировать фрейм(может быть как стековым, так и трап-фреймом).
KeSqueer Да. Если трассируете, то проверять Ip ~ [KiUserExceptionDispatcher % +15], в этом случае сбрасывать TF.
KeSqueer Да. При всяком исключении отличном от #DB, значение TF переносится не в контексте как инфа об исключении, а в текущий контекст потока,...
KeSqueer SecondChance генерится програмно при не обработанных исключениях посредством NtRaiseException, это позволяет избежать зацикливания(eg:...
KeSqueer Когда приходит сообщение CREATE_THREAD_DEBUG_EVENT получаете контекст потока, загружаете в Dr[0%3] адрес процедуры, в Dr7 флажки(для Dr0:...
KeSqueer Удалённая обработка исключений в юзермоде возможна только посредством отладочного порта, поэтому решение его использовать верное....
onSide Почему нельзя трогать процесс ?
Базовая единица памяти это страница. Какиебы манипуляции с ней не выполнялись(аллокация, изменение атрибутов и пр.) они сразу для всей страницы...
KeSqueer Хардварные брейки использовать. Или контекст изменить, например взвести TF, затем откатать фолт. Или в системный лодер брейков поставить....
Rel Вот вы например знаете размер системного хипа - нет, вы юзаете только требуемый размер, хотя физически он выделяется по страницам.
Rel Не может быть размер буфера равен N*PAGE_SIZE, всегда меньше. Эта инфа не системная, она только коду известна использующему буфер.
Rel Память гранулярна, буфера же имеют чёткие границы. Тоесть свободное пространство за пределами буфера свободно.
Имена участников (разделяйте запятой).
