leo блин, переклинило :) ну что lea bx,[0xffff] и mov bx,0xffff тоже самое но кодируется по другому, короче lea c памятью не работает, хотя...
Тоже, что и mov bx,[xx] ... Я до сих пор не понимаю этого дублирования, или в реальном режиме есть какие-то различия?
е можно убрать(мысленно) чтоб не мешал, тогда будет понятно lea bx,[bx+bx*2] Какой нафиг адрес, bx*3 и все
Этот "красавец" трубкозуб - ближайший генетический родственник человека :) [img]
Тестовой :), а зачем олиного, я чет не понял? Вот что возвращает ZwQueryObject(ObjectAllTypesInformation) в проге Broken Sword под олли...
От башка, забыл [img] _188941189__teb_peb.zip
Нули там у меня, я сделал 2 проги;=========================================== format pe gui include...
http://www.paleo.ru/forum/viewtopic.php?t=423 Фото, нифига себе черепашка, напоминает слона
Понятие разума (как и многих других обобщающих определений) меняется с каждым днем (и чем дальше - тем быстрее), если тысячу лет назад его...
Я ещё тогда перерыл у себя \system32, эта строка встретилась только в ole32.dllNtSystemDebugControl Implements a range of debugger...
Не обращай внимания или считай его тоже символом, я по привычке добавил ноль как признак окончания строки, в том коде он не нужен (его роль...
По вашему у улитки нет интеллекта и она не способна самообучатся? Ню-ню ... Начинайте сразу перебирать 10 Гиг днк человека, чего мелочится :)
Дай свое определение слова интеллект или хоть скажи какой организм тебя интересует :)
По DebugObject не детектит в NT4.0 и w2k (такой строки в ObjectInformation нету), debug2.exe олли не находит, но через ZwSetInformationThread...
Тут без аттача с exetools мало кто проверит
Грубо говоря можно так (удалить четверку):string db '123456789',0 size = $-string mov esi,string...
имхо, если обнуляется один PEB.BeingDebugged (как это раньше и делалось в плугине против IsDebuggerPresent), то так и должно остатся, изменение...
BUGOR Ищи по форуму (кажется в этом разделе), были коды на все 4 ф-ции, у тебя известен размер - можно ещё под отдельный камень пооптимизировать...
В w2k екзешник и ntdll размаплен уже при CREATE_PROCESS_DEBUG_EVENT, после первого LOAD_DLL_DEBUG_EVENT он "проинициализировался", посмотрел...
leo Хе-хе, голова! Работает и в W2K\NT4.0, это даже можно по CREATE_PROCESS_DEBUG_EVENT сделать (один раз)
Имена участников (разделяйте запятой).
