Перед KiInitializeUserApc esp=top-4 (из исходного контекста), дальше так: esp = (esp & ~3) - sizeof(CONTEXT) - 0x10 dword [esp] = <apc routine>...
При user-mode APC контекст прерванного потока хранится в пользовательском стеке (в данном случае - естественно, близко к верхушке), ничто не...
Прежде всего, информация, откуда вообще берутся значения регистров. Скажу сразу, что изучал всё это довольно давно, так что проверял поведение 2k...
Ага, спасибо, тему нашёл (если кому тоже интересно, вот она: http://www.wasm.ru/forum/viewtopic.php?id=8842&p=2). Впрочем, это чипсетозависимо и...
пардон, push 0 / pop ds / pushf / call far [10h*4], конечно же
Вообще-то можно просто установить обработчик #DB, установить флаг TF, вызвать прерывание 10h и в обработчике уже смотреть на следующую инструкцию,...
Преобразование мыла в конечную строку: мыло xor'ится со строкой "GIPXfactor1.0" (без кавычек, циклически повторяемой при необходимости),...
Всё, что нужно, выдаёт функция GetFileInformationByHandle - и число жёстких ссылок на файл, и идентификатор файла в файловой системе (который...
С DirectX не разбирался, на первый вопрос ответа не знаю. По поводу второго вопроса: для начала попробовать в режиме дизассемблера в стековых...
Если нужно экспортировать одну функцию exported под ординалом ord, то следующий код поможет: align 4 data export dd 0, 0, 0, rva dllname, ord, 1,...
Потому что (нестатические) функции-члены вызываются не так, как обычные функции (например, им нужен указатель this). Сишный qsort ничего не знает...
Ответ на приведённую формулировку - сделать процедуру сравнения статическим методом (иными словами, добавить ключевое слово static перед...
Эээ... я же писал: в диалоге загрузки файла выставить Loading segment = 0xF000, Loading offset = 0x0. Тогда все команды jmp 0F000h:xxxx будут...
Ну не надо так плохо об интеллекте IDA отзываться... это она знает, просто нужно добиться того, чтобы файл, загруженный в базу, располагался так...
Помнится, нужно было мне как-то раз обойтись без RTL, и мешалась memset. При этом была включена link-time code generation, и на реализацию memset...
Должно быть: база F000, смещение 0. Откуда вообще взялось значение E000, непонятно.
Вот интересно, а ответы в дубликате темы http://www.wasm.ru/forum/viewtopic.php?id=34918 остались незамеченными? Width: 01 означает, что поле...
Ну, для этого не нужен полноценный парсер, вполне достаточно вычисления длины, а это не так уж сложно. ...if (Dword(i)==0x38464947 &&...
Если "загнать в массивы" означает "удалить все переменные и код, что внутри этих участков IDA насоздавала", то примерно так: (код вводить в...
+как заметил valterg в дубликате этой темы, современные CMOS вообще-то "не умещаются" в пространство, адресуемое через 70h/71h, а занимают вдвое...
Имена участников (разделяйте запятой).
