JAPH а при входе в обработчик разве FLAGS не записывается в стек? ;-)
может надо call far dword ptr cs:[vect] jmp far dword ptr cs:[vect] кроме того, кто после call будет делать popf
просто так да, не выйдет зато с правами админа можешь драйвер загрузить
FromNowhere держи http://www.intel.com/design/processor/manuals/253666.pdf A-M http://www.intel.com/design/processor/manuals/253667.pdf N-Z
я так понял при переходе из RING3 мы устанавливааем TF как раз для того, чтобы контролировать все инструкции т. к переход на менее...
а как быть с 16-ти битным кодом реального режима если не эмулировать, то #UD может как возникнуть, так и не возникнуть
да bochs чистый эмулятор иначе как там построена отладка и прочие фичи
n0name хотя да, резонно в принципе это решение
ну хорошо, как ты тут определишь, что идет проверка CPL mov eax, cs and eax, 3 test eax, eax ...
ну а если так ... pushfd nop nop nop mov eax, esp mov eax, dword [eax] ; вот тут EFLAGS палится и ничего не сделаешь ...
ну тогда один из регистров db0-db3
установка TF вероятно
все, понял все подрят то можем, только тут искусственный интеллект нужен к тому же где гарантия, что, допустим, код mov eax, cs не есть начало...
зачем вообще что-то скрывать и т. д все, что может выполниться - выполнится а что нет - будет эмулироваться или я чего не понимаю? можно...
FromNowhere тогда нужно ловить и анализировать исключения, которые будут возникать при попытке выполнения чего-либо, что должно выполняться при...
PaCHER вот и я про то же
да кольца тут не причем, идет просто эмуляция выполнения инструкций и изменение виртуальной среды CPU допустим идет выполнение (эмуляция)...
у Intel есть спецификация всех инструкций с псевдокодом логики их исполнения преобразованием псевдокода в реальный код виртуальной машины можно...
renych а что вариант jmp far 7000h:1111h не катит?
AndNot медленный вариант
Имена участников (разделяйте запятой).
