Угу, r3 и восстановление SDT :\ SDTRestore AFAIK юзал PhysicalMemory, однако сейчас его проблематично использовать.
Угу. Просто тема интересная. хз, хз. У меня уже есть наработки, да и у Great'a тоже. tnx Ни у меня, ни у Great'a нет 64битного проца, отладка...
TermoSINteZ, Cr4sh аська моя в контактах. Основные концепции скоро в доках изложу.
vlaman IDA в руки.
да, rva.
import kernel32... import user32...
Я тоже планирую написать дебаггер, только для Windows, ring0. Про дизасм ищи на форуме.
Посмотрел. Всё дело в том, что я в xGetProcAddress предполоаю, что rva == pa. Однако в Vista такого не выполняется. Тебе надо сделать...
dr_ivers да
свою назначить.
Откуда же я знаю, что делает твоё приложение, и зачем ему нужно маппить ядро. Как я уже написал выще MapKernel всё делает коректно, проблема...
Это уже пошла конкретика, надо знать, с какими драйверами работает топикстартер.
dr_ivers Event
Нормальный драйвера, если используют хуки, то юзают и объекты синхронизации(семафоры например), чтобы была возможность выгружатся.
Можешь не объяснять, я помню свой код :P Ты разве не видишь, что я к VA прибавляю hModule, так что это не зависит от адреса маппирования. Если...
\base\ntos\ps\pshelper.c
wrk
Nouzui Intel VTune оценивает поинструктно. AFAIR это значение вычисляется при инициализации Executive-подсистемы и зависит от пары параметров.
__emit ?
то есть отмапиован? Мы же вроде говорили про поле ImageBase в PE-заголовке?
Имена участников (разделяйте запятой).
