В ntdll - да, в ядре - нет.
Это внутренняя функция kernel32.dll которая и делает всю работу по созданию процесса. CreateProcessA/W (и др) просто оболочки для неё. Поэтому и...
PCX формат простой: struct PcxHeader { BYTE Manufacturer; // 10 BYTE Version; BYTE Encoding; // 1 BYTE BitsPerPixel; // 1/2/4/8 WORD Xmin, Ymin,...
А смысл дизасмить? Если есть сорсы NT4 с лоадером, с сорсами MBR, bootstrap, etc...
перехватить ZwOpenProcess с попыткой открыть процесс с PROCESS_TERMINATE. возвращай ERROR_ACCESS_DENIED
В юзермоде противодействия терминатепроцесс нету.. да и по логике быть не может. специально сделано чтобы можно было в случае чего без проблем...
Надежнее в ядре перехватить Прямой вызов функций через INT 2E / SYSENTER тоже никто не отменял
кроме перехвата ZwTerminateProcess скорее всего никак Ну еще можно перехватить OpenProcess с типов доступа PROCESS_TERMINATE, но не факт, что нас...
omfg, а цели какие?
мда.. глюк) пойду посплю чтоли
не в тему, но строки лучше сравнивать через RtlCompareUnicodeString, чем через wcscmp который из двух
ЗЫ. А почему не 90-60-90? =\\\\\\
lol подходящий форум выбран ага
Quantum такой изврат затрудняет отладку =\ думаешь, что вызов подпрограммы, а обломись - всего лишь извращенный push
нет :P
С чего это они бестолковые. Иногда прикольно сделать sahf а не pushf/pop ax
мда..
А значение ebp неявно изменяется при enter/leave. А значение ECX меняется неявно при loop, значение esi(edi) при цепочечных командах, .... Список...
ESP - тоже ничем абсолютно не выделяется, если судить по твоим критериям. Подумаешь, там принято хранить адрес стека. Я могу там и числа...
На самом деле в винде сегментный регистр значения не имеет, у CS, DS, ES, SS стоит одинаковая база и равная 0. Таким образом виртуальный адрес во...
Имена участников (разделяйте запятой).
