Потому что 118 784 кратно размеру кластера. А рабочий он потому, что виндовому PE загрузчику, мягко говоря, плевать на "лишние" данные в файле.
дел
fod читал бы ты кстати лучше учебник. там понятнее расписано. про команды и какое они оказывают действие
Freeman +1, я не вижу никаких неудобств в том, чтобы лишний раз сложить три числа. asmfan а мы сейчас ведь, кажется, про x86
не понял зачем тебе это, если есть KeStackAttachProcess. вообще юзать нтдлл из дрова низя)
Читаем Руссиновича. Или он уже не рулит? KeServiceDescriptorTable содержит четыре таблицы сервисов, обычно заполнена только таблица сервисов...
а не проще перестраховаться и сделать?)
попробуй бошс:)
ну это конечно да, но можно ведь создать такие условия, чтобы программатор никто не трогал больше )
giveio.sys ? зачем такой изврат если можно разрешить просто доступ к портам из пользовательского кода. тогда in-out пройдут без исключений, можно...
ну порядок должен быть другой во-первых. ты же в пеб записываешь, а не читаешь из него. а насчет обращения к переменной хз
перебери каталог \??
hInstance нужно было в версиях Windows 9x и более не используется. Можно передавать везде NULL. Правда ты путаешь hInstance и hModule. hModule...
Да, еще забыл сказать - не беспокойся насчет 1.5 метров, это виртуальная память. Физической оно занимает значительно меньше в связи с тем, что...
точнее, скорее всего к разным структуркам в массиве)
по какому hinst, простите? +) Винда сама уничтожает адресное пространство и таблиццу хендлов при завершении процесса
а как оно его откомпилировало? покажи кодес
ltshck гугли лучше. fs тычет на TEB, соответственно можешь танцевать отсюда - гуглить описание этой структуры.
Да, бывает. Можно патчить однобайтовой командой, например, CC. Но снять и правда легко.
командная строка и эмуляция доса совсем разные вещи.
Имена участников (разделяйте запятой).
