это rva, а тебе нужно физическое смещение. воспользуйся одной из функций кода. RvaToFileOffset
верно, так и надо делать. адрес по которой загружен модуль. к твоему rva добавь base.
вместо &ObjectAttributes, 0 ставь.
msdn где же еще.
hexrays_sdk =) а что за "positive ebp values..." ?
солдатова почитай. если надо уж совсем просто. там есть несколько ошибок конечно.
а ты уверен что ядро линуха само не считывает данных с харда? то есть без подвисаний винды? ты уповаешь на то что винда после всего этого будет...
конечно бсод будет. заменил GDT которая используется системой на непонятно что, и надеешься что ОСт так и будет работать?
есть и прямые линки, а не на фйлообменныках. причем в top10 или top20 правильных запросов.
реалмодную :P
с каким оригиналом? хотим узнать изменяли ли файл. где взять оригинал?
как узнать что какой-то файл изменен не зная его содержания?
нет. SST - грубо говоря эти функции вызываются из ring3 через "шлюз". она есть в SST. она есть в SST. считать с диска.
насколько документированно? ZwQueryProcessInformation/ZwQuerySystemInformation
мда. rtfm
у меня есть несколько док по итаниуму на русском. в них все неплохо расписано.
я вот так вычисляю. ntHdr = (PIMAGE_NT_HEADERS)((PUCHAR)pMem + ((PIMAGE_DOS_HEADER)pMem)->e_lfanew); ntHdr->OptionalHeader.CheckSum = 0;...
хз, хз. афаик линух так же как и виндовс не используют изза невозможности полного ревью кода ядра. не в плане теоретической возможности, а в чисто...
rei3er это же винда. а ты хочешь по физ адресу считывать/записывать. дял винды apic промаппен на 0xfffe0000.
нет. стандартных средств нету.
Имена участников (разделяйте запятой).
