AsmGuru62 >Dev С++ зачем-то чистит стек после вызова, но MessageBox уже почистил перед выходом. Непохоже. Скорее этот компилятор просто не любит...
Mika0x65 >push arg4 >sub rsp, 0x20 >call func >add rsp, 0x20 О Боги, в действительности всё совсем не так. Конкретно в данном случае один...
Win7 Enterprise\Ultimate: secpol.msc – Software Restriction Policies, Application Control Policies (AppLocker).
CR3 (Intel man): 2^(27+12) [img] PTE (AMD man): 2^(40+12) [img] Интересно, что в Server2008 от поддержки 128Гб в 32х-разрядных системах...
А что вообще нужно сделать? Чтобы объекты авто-кастились в инт? Чтобы объект мог присваивать себе инт? Или чтобы при присвоении получалась...
at0s >вместо LARGE_INTEGER я определил LONGLONG - это существенно ? Нет. LARGE_INTEGER SockTimeout1 = {-1, -100000000}; LONGLONG SockTimeout2...
Часть исходников вроде как открыта. Мы не смотрели правда что там и как, но полагаем, что найти релевантный код возможно.
d2k9 Да ну? Слово "ASLR" ты в предыдущем посте не пропустил? Microsoft Windows [Version 6.1.7600] Copyright (c) 2009 Microsoft Corporation. All...
*упс, Clerk опередил.
Если углубиться, то: NtQueryInformationProcess(ProcessBasicInformation) – получаем базу PEB. PEB.ProcessParameters – указатель на структуру...
>Либо подмена ответа от сервера образно говоря с "0" на "1" Но если сервер проверяет ключ, то при несоответствии вполне ожидаемым для него...
0xFox Всё правильно – win32k с таблицей своих сервисов находится в сессионном пространстве же.
freyr >замена начальных инструкций функции не в счет, уже никто давно так не балуется в ядре Хорошо знать :) >mov eax, large fs:124h >mov...
>под фильтры чужие можем попасть Но в таком случае фильтрование может осуществляться и на уровне NtProtectVirtualMemory(), и на уровне...
KTHREAD.PreviousMode каков? Usermode, Kernelmode? Если один вызывает NtProtectVirtualMemory() с PreviousMode==Usermode и параметры-указатели...
>>Через far jmp изменить CPL не получится >Почему? А вот так определено. В тот же уровень привилегий – пожалуйста (например, из 32х-битного...
Гм. Ради интереса, код из первой коробки в интелловском синтаксисе выглядит как? Через far jmp изменить CPL не получится (не считая task...
retmas Можно поподробнее? Никак не получается выполнить сопоставление "hook ET".
pop edi invoke CsrClientCallServer, edi, NULL, esi, 0 ?
AntiB >а почему вы думаете что графика проинициализированная? Мы не знаем, проинициализирована графика или нет, потому что не представляем, на...
Имена участников (разделяйте запятой).
