Прикольно.. Если взять fasm, то в режиме х32 он тоже выдаёт 21 12 и это вполне ожидаемо, т.к. в "stdcall" и "cdecl" параметры передаются в стек...
Я тебе ещё раз говорю, что это теория, а на практике тупо сбрасываешь мини-дамп, и проецируешь на него структуру. Всё.. и никакие символы не...
ну так если получаешь совет идти через болото, то конечно останешься при своём мнении. подключаться к инету и качать данные с другого конца света,...
Да я к тому, что по профилю форума нужно вроде в коде копаться, а не обсуждать помидоры с капустой. Походу здесь вообще уже забыли, что это такое....
даа.. васм уже не тот..
да и расшифровать там ничего не нужно - просто сбросить мини-дамп и всё. а вообще это вовсе не призыв к действию, а теория для тех, кому интересен...
так у них задачи глобальные, а мне всего-то нужно получить один список. выше я цеплял в скрепку код, который должен работает на всех системах Win,...
HoShiMin, во-первых просто дёргать за готовые функции как минимум не интересно, здесь ведь фишка в исследовании памяти напрямую. Во-вторых есть...
Раз уж создал тему, немного объясню, что здесь к чему.. Зачем вообще искать переменные ядра, ведь в WDK всё и так расписано? Проблема в том, что...
Чёт не хочет делать дампы IDebugClient::WriteDumpFile, при этом LastError утверждает "Операция успешна", но в файле дампа пусто с размером нуль....
Конечно могут, только не в случае со-структурой "KDDEBUGGER_DATA64". Если обнова добавляет в ядро переменные, то они ложатся в конец уже...
Спасибо за зоопарк идей, только я не уверен, что это будет самый надёжный способ. • Во-первых код должен воркать на всех системах Win7/8/10/11, и...
Нет, мне просто нужно сдампить память модуля Ntoskrnl.exe, а WinDbg я просто использовал в своих тестах. LiveKd у меня установлен, но на другой...
Всем привет! Возникла необходимость из драйвера сдампить процесс Ntoskrnl, чтобы получить значения неэкспортирумых им переменных. Возможно-ли это...
да, только до ARM-v6, а выше вообще не поддерживает вроде. Он есть только в зареганной версии, и никак переводить не нужно - просто открываешь...
BestMann, другой софт пробовал запускать на клиенте? WinDbg так-же на него реагирует? Просто когда соединяешь клиента "сом-шнурком", отладчик...
так WinDbg всегда останавливается на ЕР системного загрузчика образов. теперь, как только отладчик остановится, вы установите бряк на точку-входа...
Вот лишь некоторые из них: https://anti-debug.checkpoint.com/ Более того, софт может определить режим работы Win "defaul/debug" в ключе реестра:...
Думаю перед там-как самому читать из дампов инфу, нужно ознакомится с их содержимым и посмотреть, что сбрасывает в логи например тот-же WinDbg. У...
Ну понеслось.. теперь ещё на 5 страниц про село и помидоры. Хочешь поговорить о жизни в колхозе, так что мешает создать отдельный тред в хипе? ТС...
Имена участников (разделяйте запятой).
