злодей :P
скорее всего ZwQuerySystemInformation не возвращает список потоков для процесса каспера. хотя хз, может и даже открыть не дает :)
REALiSTiC упалподстол) вообще-то имелось в виду создание кадра стека мда.. no commets.
Можно посмотреть в ресурсах ntoskrnl.exe версию и сервиспак У меня File version: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Headerx мейби дашь больше информации?
Я гдето видел код по определению сервиспака. Найду - дам. Еще можно через COM определить (по крайней мере тип - Free Build или Checked Build...
Из ринг3 можно еще резолвнуть симлинк \SystemRoot просто через NtQuerySymbolicLinkObject
В сорсах ядра тоже самое, "железный" код на асме, остальное на Си. Но это не повод говорить, что на асме только платформозависимый код пишут
может и не быть. а может и быть. в зависомости от этого адрес параметра в стеке будет разный (esp+4 и ebp+8)
Еще обязательно перехватывай NtSystemDebugControl.
http://ru.wikipedia.org/wiki/C--
push ebp / mov ebp, esp
Cr4sh Дада, я читал )) мегажесть.
У меня есть яблоки, я хочу груши. Что можно посоветовать с этой точки зрения?
Некоторые внутренние функции специально генерируют исключения в некоторых случаях, которые сразу же перехватываются SEHом. Вообщем это лучше не...
Vov4ick под дос еще есть сенпотичный a86. мне нравился. вроде есть версия a386 32битная, но она платная.
для сборки примеров на тасме лучше ставь тасм. exe2bin - досовская 16битная тулза, которая умеет преобразовывать 16битные досовские EXE в...
зато есть сторонняя утилита exe2bin, которая, однако, работает не для всех exe'шников... конечно, я про 16 бит. 32битный масм и не обязан комы делать.
это обычные PEфайлы как я помню. IDA'ой. 2000 - это линейка NT, для них устройство очень подробно практически везде. с 95 дело посложнее, прицнип...
Это банально был бы уже не системный язык ) Стоит только взглянуть на тот же PHP.
Имена участников (разделяйте запятой).
