IMAGE_OPTIONAL_HEADER.AddressOfEntryPoint
Для проги, у которой на точке входа EB FE (jmp $): EPROCESS = ffb71a20, Name = infloop.exe Threads [1]: ffb96418, proc ffb71a20, eip 00401000,...
Прога Sleeper: .code start: push -1 call [Sleep] ; never reach here ret .end start Дров выдает для процесса Sleeper.exe...
Ну а как он будет работать, если родного сайта нету, а скрипты не переносили.
А с ntoskrnl.lib линкуешь?
Да ты прав.. туплю. И все же странновато что планировщик оставляет EIP=KiFastSystemCallRet. Хотя сегмент cs наверное перезагружается отдельно.....
Я имею в виду я ее не просто так взял, а из KTRAP_FRAME того же :) Ну в принципе достаточно просто старший бит EIP проверить, если установлен,...
PROFi Я не про то. Допустим, какойто поток от какогото приложения начал выполнять, ну скажем, NtSuspendProcess. Он перешел в ядро, выполнил там...
Кстати у всех потоков PreviousMode = 1, получается в ядре ни один поток не прервался? Что за чудеса.
О а кстати это дельная мысль... при прерывании от таймера.. угу.. надо глянуть
это просто ret. А вообще смысл предложения твоего я не вкурил) Равносильно дизасмингу или просмотру асм сорсов KiSwapThread. Оставил этот вариант...
Требуется получить EIP потока, отработавшего свой квант времени. Ну то есть просто выдрать EIP из его контекста. Интересуют лишь те потоки,...
сорс в студию полный
наверное ntddk.h ;) (если на сишнике пишешь)
не path, а include и includelib насколько я помню (смутно)
nitrotoluol для красоты :-P
ZwCreateDirectoryObject ?
Спроецировать секции сразу по их виртуальным адресам с помощью MapViewOfFileEx Например: MapViewOfFileEx( hMapping, FILE_MAP_READ|FILE_MAP_WRITE,...
А зачем цитировать объемные куски сообщений? Оставить пару предложений и поставить "..." в конце будет вполне разумно ИМХО
оО ну давай прикрути к винде полиморфный загрузчик \=
Имена участников (разделяйте запятой).
