NtUserGetKeyState etc.
inviZ Да, точно так и делаетсо, вот именно поэтому бряк на подобный код: Int 0x2A pushfd Будет обнаружен по сохранённому флажку TF, аналогично...
AsmGuru62 Теперь гораздо лучше, большое спасибо!
Вот такая проблема. IE отображает некорректно текст, какбудто он плывёт. Например вот скрин с названия топика: [img] Но это не всюду, например в...
Неужеле никто не знает :( Great хотелось бы твоё мнение услышать..
Обосную вопрос подробнее. Задача следующая. Допустим у нас в системе руткит или какойто ядерный перехватчик, он перенаправил один из 5 ядерных...
green Обоснуй пожалусто это. SashaTalakin Имхо бред, при входе в обработчик прерываний/исключений прерывания запрещаются, если они запрещены то...
Такой вопрос возник. Если на двух процессорах одновременно возникнут два одинаковые исключения, вход в ISR выполняется атомарно или нет ?
NtQueryObject возвратит не имя файла, а имя обьекта. Тебе нужно заюзоть NtQueryInformationFile(FileNameInformation).
Для натива конкретнее будет:
Первый ntdll.dll Кстати я бы заюзол MemorySectionName для получения полного имени модуля, но это в NT-формате, так как проецирует ядро ntdll,...
leo Ну да всё верно, не там посмотрел. Там указатель находится на TEB.StaticUnicodeBuffer, в нём имя. Впрочем в сурцах есть: swan...
n0name У меня возвращается в этом поле какойто мусор: (TEB + 0x14). База правильно возвращается. XPSP2.
G13 Я так вопрос понял, если человеку не достаточно из MSDN описания(надеюсб вопрос не сводится к просьбе перевести текст..), следовательно нужно...
FINDFILE_HANDLE struct DirectoryHandle HANDLE ? FindBufferBase PVOID ? FindBufferNext PVOID ? FindBufferLength ULONG ? FindBufferValidLength...
ConsolepFillConsoleOutput Остальное в мсдн.
UserSharedData, там инфа о системе, процессоре, счётчики времени и пр. Исключения генерировать при проверках, аналогично как и начало системного...
Потомучто с адреса 0x7FFE0000 выделена страница разделяемой ядром памяти, а остальная память до начала системного адресного пространства(тоесть 31...
Vic Юзермодное адресное пространство ограничивается адресом 0x7FFE0FFF, всё что выше для юзермода не доступно. Из ядра доступно, так предел...
Vic Никуда она не проецируется, эта переменная в ядре. PsSetCreateProcessNotifyRoutine() добавляет нотификатор в эту таблицу.
Имена участников (разделяйте запятой).
