quporos Ещё не попался?
kl Может кто-то ещё сидел за вашим компьютером? И просто решил пошутить, тогда найдите его, набейте морду и получите ответ на вопрос:
но это только из r0.
все девайсы, созданые с помощью IoCreateDevice - виртуальные. что вы имеете ввиду под реальным девайсом?
Mikl___ Для стандартных соглашений (stcall,cdecl,...) - да, но если вы пишете на ассемблере, то вы можете возвращать значение где угодно. это...
MrRockchip Возвращаемое значение не зависит от параметров ret. параметр у ret показывает, сколько байт надо вытолкнуть из стека после адреса...
Clerk А как тогда остановиться после вызова процедуры не ставя бряк на адрес возврата (из неё)?
чтобы не трассировать те функции, которые вызывает внутри себя трассируемая функция. Вобщем ставим hardware бряк на следующую инструкцию после...
вот, на fasm-е, выводит на консоль адреса, на которых останавливается(трассировка через SEH с пропуском call-ов): format PE console entry start...
Да, когда надоест трассировать, то сбросить TF.
http://www.wasm.ru/article.php?article=debugreg
pushf or dword [esp],100h popf
_sheva740 Чем вас шифрование не устраивает? Mikl___ для WinXP там sysenter.
да, только SEH обработчик тоже придётся на асме вставлять.
03h - add r32,r/m32 01h - add r/m32,r32 add r32,r32 можно закодировать обоими опкодами. см. Intel® 64 and IA-32 Architectures Software...
в секции кода память не доступна для записи, так что сначала надо VirtualProtect
Ясно, благодарю за ответы.
0x6b65 Действительно, заработало, но почему нельзя использовать NtWriteFile, ведь NtCreateFile работает?
Проблема с записью в файл: 1)В DriverEntry создаю файл (OBJ_CASE_INSENSITIVE or OBJ_KERNEL_HANDLE) - создаётся без проблем. 2)В контексте другого...
потому, что вы об этом думаете.
Имена участников (разделяйте запятой).
