expert Опциональный заголовок верный, IMAGE_OPTIONAL_HEADER64? Тогда делайте вывод директории ресурсов на консоль, сверяясь с чем-нибудь типа...
expert Приведите ваш код работы с ресурсами.
действительно (была проверка сделана только что).
Rel Применяйте макрос CONTAINING_RECORD для получения адреса начала структуры LDR_DATA_TABLE_ENTRY. Например так pLte =...
Потом если, например, адрес PEB берется из fs, то на 64 это, разумеется, работать не будет, так как он расположен по адресу gs:[0x60]. И...
deLight Здесь довольно простой случай. Если,например, говорить про структуру LDR_DATA_TABLE_ENTRY (которая в этом топике называется LDR_MODULE -...
"битность" можно посмотреть в диспетчере задач. BOOLEAN GetValueFromKey(HKEY hKey, LPCSTR lpSubKey, LPCSTR...
Так их 2. Один 32 бита, а другой 64. Первый расположен в SysWOW64, а второй в system32. Вот если смотреть первым, то значений нет. Причем в...
Если смотреть 32-битным софтом, то InstallDate = 0, а значения ProductId нет вообще. Редирект
Clerk, я так понимаю в данном случае решением будет использовать ядерный дебаггер.
Win7 x64 [img]
bp KiUserCallbackDispatcher
>>CyrrentVersion CurrentVersion =\
HKLM\SOFTWARE\Microsoft\Windows NT\CyrrentVersion values: InstallDate ProductId
В wrk есть. ntldr.h sizeof(PVOID)=8.
GetUserName получает информацию с помощью ZwRequestWaitReplyPort (для LsaAuthenticationPort). В юзермоде можно было бы изменить SecpLsaDispatchFn...
В смысле dllname = ldrmod->BaseDllName.Buffer
Maclaud dllname = ldrmod->BaseDllNameBuffer.Buffer
Блок переменных окружения либо при создании процесса из параметра Environment берется или копируется блок процесса-родителя.
Дада, об этом и было написано в предыдущем моем посте. А, вы это имели ввиду (меня сбила фраза про lsass). Нехваток сна сказывается на...
Имена участников (разделяйте запятой).
