[ VOOrDOOluck: <font color="indigo]Откуда эти значения:из kd или дизасма.Очень интересно.</font><!--color--> ] Да я просто набрал в айсе dd...
Под XP sp0 сама MmPagingFile по адресу 80546020, в ней 8144E9F0. typedef struct _MMPAGING_FILE { PFN_NUMBER Size; PFN_NUMBER...
Тот код, который я приводил у мя под XP sp0 работает. Твой тоже.
Так simple или advanced? С первого взгляда, похоже на sim... simplest ;)
n0name, сначала вызови... invoke ZwTerminateProcess, -1, 0 ...внимательно пройди под отладчиком и смотри на esp, потом делйа так: push 0...
http://board.win32asmcommunity.net/viewtopic.php?t=5439
Есть, по-крайней мере, одна умная книжка: "Inside Microsof Windows 2000" y David A. Solomon and Mark E. Russinovich. У нас не приняты ссылки...
[ VOOrDOOluck: <font color="indigo]g_pfnDbgPrint- это указатель на функцию?</font><!--color--> ] Забыл ответить. Да, конечно. На сайте...
[ PavPS: <font color="indigo]Так вот хотелось бы глянуть, скока в ядре занято NonePaged Pool памяти, ну и другой.</font><!--color--> ] Если...
[ VOOrDOOluck: <font color="indigo]Как правильно хучить DbgPrint.Я на скорую руку попробовал но там фигня выходила из за параметров (LPCSTR...
Нужно ещё добавить рамапинг, ибо точка входа хукаемой функции запросто может находится на read-only памяти. VOID RemapDbgPrint( VOID...
Быcтрее всего, дело в том, что система не делает ничего до тех пор, пока это не станет абсолютно необходимо. Для отображения длл достаточно...
Переключение адресных пространств процессов происходит как часть переключения контекстов потоков и, как это ни странно, для этого достаточно всего...
Во-первых, айс - это драйвер, а для драйверв есть PsSetLoadImageNotifyRoutine. И обрати внимание, что в самом начале лога, который на айсову...
[ VOOrDOOluck: <font color="indigo]Смех и грех в том что кроме нулей(большинство)я больше ничего не вижу.Я что чтото не так...
[ VOOrDOOluck: Интересно чем это подтверждается ] Тем, что она вытащена из ntoskrnl.pdb. Пдбэшка была от xp no sp, так что теоритически в...
Если простенький фильтр нужен, то http://www.sysinternals.com/ntw2k/source/ctrl2cap.shtml
[ VOOrDOOluck: Вначале я использовал структуру для w2k но с ней был полный бред. ] Ну так конечна. Она же для w2k. Специально ведь в именах...
[img] _1734879982__pnpi8042.part03.rar
[img] 1227457227__pnpi8042.part02.rar
Имена участников (разделяйте запятой).
