Sholar Этот дамп не от этого модуля.
Sholar ntoskrnl в студию.
Sholar Не может.
TermoSINteZ Не согласен. Какая разница, кто когда запускается ? Пробили до ядра, дальше тапки носит тот, у кого ноги ровнее.
Первые два IOCTL(FILE_DEVICE_KSEC) это генератор псевдослучайных чисел.
NtOpenSymbolicLinkObject, NtQuerySymbolicLinkObject; апи вроде были, но не помню название. В ядре есть функа IoVolumeDeviceToDosName(), она...
M0rg0t Бида :(
PHYSICALDRIVE это символическая ссылка на девайс. Она ссылается к примеру на \Device\Harddisk0\DR0. В директории \Device\Harddisk0 перечислены все...
shchetinin Да, стать сопливым школьником и патчить, патчить!11
shchetinin Вы изначально сказали про конкретный модуль с конкретной апи, теперь всякие шимы, аверы и прочее. Если содержимое апи меняется, то...
shchetinin Ну вот мы его распарсим и найдём CoCreateInstance(). Какой другой ?
shchetinin Что вернёт LdrGetDllHandle("ole32.dll") или LdrLoadDll("ole32.dll) ? Я тут уже форум до дыр протёр одним и темже, кодесом тоже.
Для мультизадачности. Опенсурсно, врк, реактос етц.
shchetinin A. Искать адрес не моя задача. Тут нужно код похачить, а корректный адрес должен передавать тот, кто будет использовать данный...
shchetinin Мне без разницы что оно у вас возвращает, я не юзаю эту апи. Я нахожу модуль через LdrGetDllHandle() и разбираю экспорт всегда своим...
l_inc Очевидно что это не возможно. После ресума может быть ожидание, к примеру в LPC или там в другом окне таймер сработал.., а далее через...
l_inc Висит гденибудь в шадове поток, какая разница в саспенде он, не в саспенде, всё равно не исполняется. Тогда в чём смысл определять...
l_inc Не говорит. Создание такого потока эквивалентно созданию второго остановленного треда и ресуму первого. Само по себе создание обьекта не...
nop4 Загрузчик это код самодостаточный и базонезависимый. Он предоставляет некоторый функционал через вызов его начала. Вот и добавляем в модуль...
shchetinin Что это значит ? Да как угодно. К примеру будем каким либо образом отслеживать аллокацию или обращение к хипу. При этом находим в SFC...
Имена участников (разделяйте запятой).
