Если размер софтины < 6M то давай её сюда.
KeSqueer Отладчик не вызывается, хотя должен.. При обращении к стеку возникает #PF, оно обрабатываетсо в KiTrap0E: KiTrap0E ->...
Вобщем RtlCreateUserProcess() юзает неэкспортируемую процедуру(пусть будет RtlCreateUserProcessEx), на которую две ссылки в ntdll из...
_basmp_ Ага точно, чегото я мошинально в ядре смотрел :D
6.0.6000.16386, такого сервиса нет. 6.1.6801.0, тоже нет. Где вы его нашли вобще ???
\wrk\base\ntos\inc\smbios.s, smbios.h WMI, там юзается MmMapIoSpace(), в которую физический адрес передаётся, далее проекция сканится на...
Freeman PE_Kill Ядро не вызывает KiUserExceptionDispatcher(), просто снося процесс. Юзермод. Нет, вобще идей у меня нет.
Да, нужно сделоть без удалённых потоков, возможно это ?
offtop// l_inc Я сам иногда употребляю пав и торчу, признайсо что ты тоже их юзаешь ?
l_inc Как и скозал кристалег, с тобой спорить бесполезно.
Докозать что Конечно, брякнутсо в отладчике на KiFastSystemCallRet в оригинальной ntdll.)
Что есть 0x000F0000 ? Это не теневой биос, он находитсо в конце этой секции.
l_inc Можешь не сомневатсо, это так. Я уже скозал в 4-м посте, повторюсь. Ядро по прежнему передаёт управление в образ ntdll. К примеру, юзаетсо...
Имена участников (разделяйте запятой).
