>>Конечно, в качестве исключения можно попробовать вручную аллоцировать и инициализировать MDL >Может быть Вы подскажете как это сделать?...
>Если ставлю 0x3FFFFFF, то опять отторжение. Всё правильно – мы округлили. Для XP и 2k3 максимальный размер описываемого буфера в байтах –...
Можешь выложить минимальный бинарник – тогда посмотрим на 7ке сегодня вечером.
2^12 * 2^16 / 2^2 == 2^26 == 64M == 0x4000000.
sheef_ad Необходимо видеть, какой там на самом деле код. В плане, не машкод, конечно – но чистый ассемблерный код без макросов.
#pragma const_seg(push, ".text") const int x = 0x2A; #pragma const_seg(pop) #pragma data_seg(push, ".text") int y; #pragma data_seg(pop)...
Используется "защита от записи". Активируется это дело, по идее, ещё до начала загрузки бутсектора. Вирус в Shadow RAM.
d2k9 Тебя обманули. Это х32. x64 >Уже внедряются. Например? d2k9 >начало функции на Win XP x86 >push 0C4h В общем-то, такое вполне можно...
Здесь хочется отметить, что если подразумевать под 16-битным кодом такой код, где дефолтный размер операнда == 16 и дефолтный размер при адресации...
>В 64битной системе, как я понимаю, для Program Files происходит перенаправление (Program Files/Program Files (x86)). По идее перенаправление...
Шеллкод получает управление уже после завершения базовой инициализации – в конце концов, до этой инициализации в адресном пространстве процесса...
32х-битное вызывающее приложение? О, угадываем да. File System Redirection.
Sol_Ksacap >HANDLE ChildProcess = CreateProcess(PathToSelf, OriginalParameters + " -LaunchedAsChild", CREATE_SUSPENDED); > ^У дочернего процесса...
qqwe >ну кто ж такой рос на цпп пишет? Существует мнение, что С++ – это просто такой удобный Си. И, до тех пор пока не используется стрёмных...
at0s Эти структуры в заголовочных файлах лишь объявлены; Они не определены. typedef struct *_EPROCESS PEPROCESS; Об _ERPOCESS известно лишь...
at0s >ПОЧЕМУ WINDDK 7600.16385.0 ( свежий) транслирует структуры Что значит "транслирует структуры"? >PEPROCESS pSysProcess = NULL; >поля...
Rustem Перезапустить себя есть возможность? Если есть, тогда достаточно после получения информации о другом экзешнике запустить лоадер в...
Ntdebugging Blog: Remote debugging. Описан вариант, когда хостовый windbg просто контролирует целевой отладчик, и вариант, когда на целевой машине...
Исправлено в следующем месяце :)
Возможно, вызов DuplicateTokenEx() необходим для точной спецификации маски доступа, поскольку WTSQueryUserToken(), как можно видеть, не позволяет...
Имена участников (разделяйте запятой).
