Вообщем такая лажа - не могу подкачать страницу из драйвера, т.е. страница всеже подкачивается но управление мне не возвращается! :( Вот смотрите...
Оказывается Тurbo Debagger использует бряк 0xCC после call! А вот айс - черт разберет
Вот тут еще есть очень интересные два момента! Кто знает как в айсе реализована, команда F10 - выполняющая call не заходя во внутрь? Я...
выполняется следующий код на IRQL = DISPATCH_LEVEL и ниже, это я точно проверял командой !irql nop <-нахожусь здесь и задаю трейсеру...
В толмуте интел по поводу обработки этого прерывания ничего особенного такого не написано, ужо прочитал. Хотя у меня с английским довольно плохо.
Наконец то получилось протрассировать инт3! ура! тут вроде понятно, но вот снова два прикола - первый: не трассируется исключение mov...
кстати, чето с этим я реально тупанул :) - and dword ptr [esp + 8], not 100h ;сбрасываю флаг TFпурга, действительно
Ms Rem Согласен. Я, таки да, погарячился с фразой я не вижу чтобы кто-то шарил в дебаге, что конечно задевает - поэтому прошу прощения!...
но вот по поводу RTFM ты, чувак, не прав! найди мне хоть один тутор нормальный по режиму дебага! - ни одного! по поводу Интел мануал - дык я их и...
Да, и еще такой вопрос интересный - как определить, что дебажное прерывание произошло из ринг3 (т.к. в этом случае в стеке еще сохраняется...
по поводу непонятки с дпл я вроде уже сообрабзил (или нет) - это если приложение ринг3 попытается сгенерить непосредственно прерывание 0 через...
таки да - немного затупил надо вот так and dword ptr [esp + 8], not 100h ;сбрасываю флаг TF push eax mov eax, dword ptr [esp + 4]...
Кстати дпл у обработчика инт0 действительно равен 0. Так почему же код с дпл = 3 может генерить это прерывание?
LevaGil ntdetect.com тут вообще не причем - я о ntloader'е тупо можно отдизасмить - это код об этом речь и идет почти наверняка,...
к тому же нтлоадер работает с реестром аж бЭгом - в нем можно найти тучу строк с ветвями реестра.
ну что не понятно? а если система упала во время работы, то при загрузке она автоматически предлагает выбрать Save Mode - ну что ты как маленький :)
как это обрабатывать во время трассировки?
вообщем такая штука имеется код юзер-моуд приложения т.е. ринг 3 nop nop nop 0xCC nop nop nop данный код...
В сорцах винды нтлоадера нет - хотя есть, как ни странно, код бутлоадера (первый сектор в партиции, загружается до нтлоадера). Хотя может я плохо...
вообщем у меня тут такая задача по работе - надо определить где находится флаг в системе, который при загрузке определяет, отображать ли меню...
Имена участников (разделяйте запятой).
