Мое почтение всем. Пара вопросов по этим ф-иям. 1. MmGetSystemAddressForMdlSafe -- макрос проверяет, есть ли отображение для MDL в адресном...
kernel16 idaq.exe -- это IDA на QT. Если я не ошибаюсь, в следующей версии idag.exe уже не будет. (Или даже в 6.2 уже нет). Куда декомпилятор...
Я сам не пробовал, но, думаю, должна помочь ф-ия IoVolumeDeviceToDosName. При наличии HANDLE'а на файл можно получить ссылку FILE_OBJECT, затем с...
d2k9 Можно просто опрашивать счетчик в цикле с KeDelayExecutionThread.
acckiitvar Если нужно что-то типа спинлока, то можно просто выдрать существующий код из Windows, например из KeAcquireSpinLock, если же поток...
Есть два варианта: 1. Поставить аппаратную точку останова. Устанавливается с помощью отладочных регистров (dr0-dr7), доступ к которым в user mode...
Booster Ну, во-певых, HANDLE файла не виден ни в гостевой ни в хостовой машине. Во-вторых, прямое чтение/запись файла в обход кэша не самый лучший...
Squash А какая версия VMWare? Меня в 7.0.1 эта проблема достала уже прилично. Думал, может в 8.0.1 исправили, а если не исправили, то и...
Honorary_BoT Так а что насчет '!idt -a' и 'dt KINTERRUPT addr'? Эти данные почти не меняются во время жизни системы.
Назревает драма. Какой !analyze -v теперь? (Желательно с символами) И что вообще требуется сделать? Прочитать память процесса в память ядра? Тогда...
Я понимаю, глупо смеяться над опечатками, ну уж очень интересно получилось... :)
Судя по всему, вместо указателя на Size передано значение самого Size. Оно, кстати, равно 1024. И да, неплохо бы настроить символы, чтобы...
Size == 1024? '!analyze -v' -- команда WinDbg, анализирующая minidump. Ну или как вариант можно minidump сюда выложить, кто-нибудь посмотрит.
А можно !analyze -v? И хотелось бы знать, выделена ли память по адресу DstAddr?
Ну, вот в этом вопрос -- работают ли команды '!idt -a' и 'dt KINTERRUPT addr ' в LiveKD.
А если проделать то, что проделал я -- посмотреть IDT и KINTERRUPT, который висит на нужном прерывании, затем глянуть вектор и найти устройство в...
Надеюсь, я еще не надоел со своим дизассемблером, но можно попробовать Mediana. Есть поддержка 64битных инструкций. Но это не совсем дизассемблер...
Хороший вопрос. Я почему-то думал, что в структуре KINTERRUPT есть номер прерывания, на котором висит KINTERRUPT. Сейчас посмотрел, это не так. По...
Какое-то устройство взбесилось :). Надо смотреть, какие устройства находятся на этом прерывании и пробовать отключить. Ну а дальше уже с...
deLight Mediana умеет это делать. Свежую версию брать из SVN.
Имена участников (разделяйте запятой).
