eme call сохраняет в стеке адрес возврата. потом ты его извлекаешь оттуда через pop cx. а уже на слово дальше будет твой сохраненный ранее cx. че...
а ты как думаешь что будет в cx после выполнения call/pop? Мне почему-то кажется, что адрес возврата (0116 по идее, если я правильно помню, что...
хм, а я то откуда знаю:) наверное.
омфг, не смей подключать к драйверу ntdll он все должен импортировать из ntoskrnl & hal
омфг=\ IRC рулит, вы что
функция сишного рантайма=\ преобразует строку в число если чо, можно найти в экспорте ntdll.dll. или линковать crt статически к проге
http://damagelab.org/index.php?showtopic=13928
atoi уже не рулит?)
можно. только геморно немного пересобирать будет. не с каждой программой выйдет. лучше править прямо бинарник
практически любой компилятор int func( ) { return 2*3; } скомилирует примерно в push ebp mov ebp, esp mov eax, 6 leave retn ну может разве что без...
оно пишется в ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug
Lemax ой ой в мемориз точно) www.google.ru
получается что да )
default calling convention ставь __stdcall а не __cdecl (/Gz кажется параметр компилера, но в опциях легче задать)
я знаю, что я нарк, но: PEB->LoaderData->InLoadOrderModuleList. аналог GetModuleFileName, но с приключениями на свои вторые 90 =))
хм... а компилера покажи
/Od - оптимизация отключена для отладки. я именно так и собирал, чтобы показать как оно будет выглядеть.
green а кто говорил про оптимизацию какую-либо?
при быстром стирании данные физически же не стираются, только информационный блок обнуляется (подробностей структур данных не знаю)
Без оптимизации он этого не сделает.
Имена участников (разделяйте запятой).
