cupuyc Никак не сопоставлять. В большинстве случаев функция не определена по имени, её определяет именно положение в модуле, это внутренние не...
cupuyc Обычно достаточно RVA адресов возврата. Но можно прикрутить отладочные символы(если свой кодес).
Sol_Ksacap Хал использует для выделения непрерывных участков физической памяти под дма HalAllocateCommonBuffer(), которая сводится к...
medstrax1 Посмотрим.
И не зависает впридачу :)
medstrax1 Я выполняю mov eax,0x12345678 в ядре и получаю ~0x12345678.
medstrax1 Я в общем сказал. Вы ведь ядро трассировать хотели, вот проверим кпл. Память - по [Eip]. По таймеру - ну да, я говорил что TF при...
medstrax1 Коды не паблик. Темболее что всё ядро не трассируется, только части нтос. Напишите простенький трейсер - перчисляем IDT или доставляем...
medstrax1 Видимо обьяснение. Не хватает камню быстродействия(P4). Возможно на новых процессорах виснуть не будет. Дедлоки возникают наверно при...
medstrax1 Трассировал я многие части ядра, в основном для захвата кода(IDP). Если код большой, то всё виснет. Да и не только это. Например TF...
medstrax1 Ну попробуйте.)
arevstudio Тогда забудьте про пулы и MDL. Менеджер памяти не позволяет манипулировать большими областями физической памяти. У меня был подобный...
x64 У "мёртвого" процесса нет потоков. Также поток не может вызвать функу юзермодную если адресного пространства нет к примеру. Или поток не может...
medstrax1 Есть множество причин, по которым это работать не будет. Нельзя трассировать хардварные прерывания. Придётся всё ядро трассировать, что...
medstrax1 По существу: > А чем они защищены? PG. > Угнали IDT подальше Угонять придётся в KPCR, уверены что PG не проверяет базу(или явно не...
medstrax1 rtfm, только потом вопросы.)
arevstudio Виртуальную память или физическую ? MDL описывает группу страниц произвольным образом расположенных в физической памяти, но отображены...
test555 Жгёте товарищ, впрочем мне ваши вопросы нравятся, забавно почитать ;)
GVL Это не возможно.
Из cmos считывайте.
Имена участников (разделяйте запятой).
