>поток исполняет >mov edi, edi >и тут мы меняем пролог на >push hooker >ret При чем здесь push/ret? 'mov edi, edi' занимает два байта, как...
PDO можно получить с помощью IoGetDeviceAttachmentBaseRef.
XshStasX ba[ID] Access Size [Options] [Address [Passes]] ["CommandString"]
r0m4n Чтобы полно ответить на все вопросы, надо половину книги сюда переписать. Есть разные варианты и обстоятельства создания, отправки IRP,...
Стоит ли какое-то антивирусное ПО в системе? Есть ли возможность отладить систему? Если есть, я бы поставил точку останова на запись в SSDT на...
Нашел пример. Ну в примере с Java это понятно -- там чтобы создать метод в ActionListener, надо создать файл ActionListenerXxx.java, в нем...
В какой-то версии С (С99?) есть вложенные ф-ии, они даже используются в загрузчике ELF'ов (насколько я помню, в ф-ии поиска символа). Зачем они...
billi12 Про IRQL -- не надо его повышать, значит. IRQL повышается при вызове ф-ий KeRaiseIrql, KeAcquireSpinLock, например. Ну или он уже может...
billi12 А отображение MmMapLockedPagesSpecifyCache происходит в контексте того же процесса, что вызывает DeviceIoControl?
tara Можно использовать trace в Olly, можно использовать MyNav для IDA.
AlexCasual Так он уже очень давно умеет собирать 64битные файлы. use64, format PE64, format ELF64 и т.д. Вопрос в этом, как я понимаю.
984259h SEH, NtContinue?
ntcdm Посмотрел ядро, довольно странно. Ф-ия Phase1Initialization вызывает нечто с помощью относительного (e8) вызова. Вызов ссылается за пределы...
Нет, это просто ошибки IDA. Я не знаю насчет поиска сигнатуры, самое простое -- как уже сказал -- посмотреть адрес целевой ф-ии в отладчике и...
IDA часто не видит символы, даже plugin такой был -- pdb+. Начиная с версии 6 с символами ситуация получше, но, кажется, тоже не все символы...
ronDonand Можно подписаться на уведомления с помощью этой ф-ии: IoRegisterPlugPlayNotification.
6opoDuJIo Это зависит от компилятора. Если говорить про MS cl, то он обычно помещает адрес таблицы методов в первый член объекта, т.е. обычно...
Это просто ошибка ассемблирования. Байтовые регистры нельзя класть в стек. Только кратные по размеру двум. Код регистра ch -- 5. Код регистра ebp...
Mikl___ А в чем вопрос-то? Если не хочется символических ссылок -- просто не вызывайте IoCreateDevice/IoCreateSymbolicLink. Драйвер при этом можно...
x64 Насколько я помню, должно быть "in", хотя я всегда путал предлоги. "Something in the way". Ладно, не суть важно.
Имена участников (разделяйте запятой).
