k3internal Возьми и запусти мой код. Работает везде от хп32 до хп64 и висты П.С. Пеб сформирован на момент колбэка. Он не полностью заполнен, но...
> значит, без обертки... Как это без обертки, вы в отладчик посмотрите, хп грузит kernel32.dll напару с ntdll _всегда_ потому что ntdll юзает ф-ии...
У меня у самого лажа с wglMakeCurrent когда юзаю nvoglnt.dll (точнее ее юзаю не я, а драфвер мой geforce)...
Хукните #PF, сразу увидите как часто винда запихивает в своп страницы. При 512Mb у меня она успивает скинуть страницу (с адресом в edi) между...
Вот код собсно: typedef unsigned long DWORD; typedef unsigned short WORD; typedef unsigned char BYTE; __declspec(dllimport) DWORD...
Юзай (peb+2d8)=адрес строки с именем dll (в каноническом виде) - это для x64, для x32 1e8. Правда винда иногда грузит shimeng.dll (смотрит...
Говорят что сие не всегда верно, вот мол для нескольких процев...
:) Как как, хуки повесил и все.
Походу 0x7a это OpenProcess :) Сори, бывает... Это все потому что прошил, надо с ntdll.dll брать dword после 0xb8 и дело в шляпе...
Написал след. простейший драйвер (см. код). Падает на DbgPrint (это я о том что если убрать оттуда DbgPrint, или поставить его _ДО_ вызова...
Не, я имел ввиду по хэндлу кучи достать ее размер. П.С. А по адресу, если округлить до размера страницы в меньшую сторону, нету ли там чанка...
По хэндлу кучи лежит какой-то бред, неужели нельзя как-нибудь достать оттуда хотябы размер (хотя это не будет работать если куча растущая)
Хз, не копал... В pdb файлах структуру KTHREAD начиная с этого патча вообще поменяли хорошо.
> Можно. Только не думаешь, что это добавит геморроя? Та не, я не то хотел сказать, В описателе потока KTHREAD лежит адрес SDT, туда прописать
Так патчгард не проверяет TEB PEB и проч. И можно подменить адрес SDT.
Имена участников (разделяйте запятой).
