И еще: это можно проделать самому: если 'dt _object_header objaddr-0x18' (на 32битной системе) показывает что-то "осознанное" (например,...
Igor1024 В смысле? !process 0 0 показывает список всех процессов. Не факт, что останов произошел в целевом процессе. Насчет !object я ошибся --...
Igor1024 dt nt!_peb 7ffd7000 -- а контекст процесса учитывается? Насчет !object -- можно увидеть дамп памяти по этому адресу?
А что в %systemroot%\setupapi.log после этого появляется?
Ну, если условия позволяют менять код, то почему бы loop не заменить на 'dec ecx'/'jnz XXXXXXXX'?
А, в этом смысле. Ну, это код перестраивать надо, и тут многое от обстоятельств зависит. А насчет инструкций: jmp short: 0xEB Jcc: 0x70 - 0x7F
Не совсем понятно, почему их нельзя перемещать? Их как раз можно перемещать, т.к. rel8 расширяется со знаком до размера rIP и прибавляется к rIP.
Пока что я выпустил большое обновление (буквально на днях). Советую всем, кто пользуется, скачать, в старой версии есть ошибки. Насчет других...
Судя по всему, ф-ии ObQueryNameString передается неправильный объект (каким-то образом испорчен адрес). ObQueryNameString пытается вызвать...
В папке windows\minidump должен создаться файл Mini_DATE.dmp. В нем можно посмотреть более детально, что произошло. Без него вообще трудно что-то...
А BSoD точно здесь? Что показывает '!analyze -v'?
Без кода не очень понятно, что происходит. Во-первых, писать в секцию кода просто так нельзя -- надо сначала изменить атрибуты страниц, чтобы...
billi12 Не совсем понятно, в чем проблема. И какая цель вообще? :) Можно получить все HANDLE'ы, затем оставить только те, что ссылаются на ключи...
>Соответственно встал вопрос что это за файл? Вроде он выводит меню выбора операционной системы, типа семерка или предшевствувающая версия и ближе...
l_inc Хм. Аналогию не почувствовал. Ну да ладно.
l_inc Угу, про физический понятно. Насчет логического -- напоминает Quine.
l_inc Я, кстати, когда думал над этим (система, частицы, предопределенность). Получилось забавно -- если есть машина, которая делает предсказание...
63F45EF45RB65R6VR Хороший вопрос. Скажем так, хуже от lock xchg не станет, особенно, если использовать префикс не очень активно. Использовать или...
l_inc Да, точно. Вечно путаю...
deLight '5 dup nop'/'mov edi, edi' -- вполне официальный механизм для hot-patch'а. cmpxchg8b переписывает восемь байт. Не факт, что ф-ия...
Имена участников (разделяйте запятой).
