Результаты поиска

Сообщение

Перехват юзермодных функций

gpTermsrvGetComputerName gpTermsrvGetWindowsDirectoryA gpTermsrvGetWindowsDirectoryW это службы терминалов адреса, они обнулены обычно. в адвари...

Сообщение от: lhc645, 14 май 2010 в разделе: WASM.NT.KERNEL

Сообщение

Перехват юзермодных функций

Ну и если в Peb->ProcessParameters->Environment не обнаружено, т очитается из реестра.

Сообщение от: lhc645, 14 май 2010 в разделе: WASM.NT.KERNEL

Сообщение

Перехват юзермодных функций

Функция GetComputerName использует функцию RtlQueryEnvironmentVariable_U для получения имени компьютера с параметром _CLUSTER_NETWORK_NAME_....

Сообщение от: lhc645, 14 май 2010 в разделе: WASM.NT.KERNEL

Сообщение

странно рухнул NDIS

это предположение сделано исходя из того, что в стеке.С таким же успехом вызвать креш мог драйвер видео (nvlddmkm). Вы сами-то инициативу...

Сообщение от: lhc645, 13 май 2010 в разделе: WASM.NT.KERNEL

Сообщение

странно рухнул NDIS

STACK_TEXT: fffffa60`01991938 fffff800`01c9c12e : 00000000`0000000a 00000000`00000010 00000000`00000002 00000000`00000001 : nt!KeBugCheckEx...

Сообщение от: lhc645, 12 май 2010 в разделе: WASM.NT.KERNEL

Сообщение

Найти перехваты

Извиняюсь, т.к. речь об x64 сабж не пойдет. Проверять руками, как уже сказали

Сообщение от: lhc645, 12 май 2010 в разделе: WASM.HEAP

Сообщение

Найти перехваты

Kernel Detective можно попробовать

Сообщение от: lhc645, 12 май 2010 в разделе: WASM.HEAP

Сообщение

странно рухнул NDIS

Это QoS Packet Scheduler в vista и 7.

Сообщение от: lhc645, 9 май 2010 в разделе: WASM.NT.KERNEL

Сообщение

Непонятки с информацией из статьи про SEH

В начале NT_TIB адрес EXCEPTION_REGISTRATION. Смотрим структуру NT_TIB http://www.nirsoft.net/kernel_struct/vista/NT_TIB.html

Сообщение от: lhc645, 5 май 2010 в разделе: WASM.ASSEMBLER

Сообщение

Условный бряк при условии взведенного флага.

Там ведь сравнение перед переходом, так проверяйте не флаг, а сравнивайте операнды cmp

Сообщение от: lhc645, 25 апр 2010 в разделе: WASM.BEGINNERS

Сообщение

Как определить windows x86 или x64

Можете также проверить fs:[0C0]. По этому адресу в x64 находится адрес wow64cpu!X86SwitchTo64BitMode X86SwitchTo64BitMode EA 2C3CB878 3300...

Сообщение от: lhc645, 22 апр 2010 в разделе: WASM.X64

Сообщение

Как определить windows x86 или x64

Можно выполнить инструкцию str cx [считываем селектор tss]. В x64 вернет 40h, в 32 - 28h.

Сообщение от: lhc645, 22 апр 2010 в разделе: WASM.X64

Сообщение

№№ вызовов Shadow SDT??

Нашли функцию из шадоу-таблицы, выбрали в иде Jump to xref to operand... Перешли по адресу. Скроллите на начало массива - символ называется...

Сообщение от: lhc645, 19 янв 2010 в разделе: WASM.NT.KERNEL

Сообщение

Проверить из "волокна" "родительский" поток

>> Подскажите где я ошибся. GetCurrentThread возвращает псевдоописатель треда.

Сообщение от: lhc645, 3 дек 2009 в разделе: WASM.BEGINNERS

Сообщение

FS: Get base virtual address ring3

например так MOV EDI,DWORD PTR FS:[18] ; NT_TIB.Self

Сообщение от: lhc645, 1 дек 2009 в разделе: WASM.WIN32

Сообщение

2 вопроса по Syser

>> . Выполнил команду bpx MessageBoxA. Программа вызвала MessageBox. Появилось окно Syser-a. Выполните команду u [esp] должно сработать [под...

Сообщение от: lhc645, 8 ноя 2009 в разделе: WASM.BEGINNERS

Сообщение

DEP?

>>Может, кто-то у себя проверит? Приведенный пример жизнеспособен только совсем в тепличных условиях. Надо ориентироваться хотя бы на наличие...

Сообщение от: lhc645, 8 ноя 2009 в разделе: WASM.WIN32

Сообщение

SEH обработчик в стеке...почему не работатет

GetProcessDEPPolicy, Flags = 0 GetSystemDEPPolicy = AlwaysOff XPSP3 ; редактирования нет

Сообщение от: lhc645, 15 авг 2009 в разделе: WASM.WIN32

Сообщение

SEH обработчик в стеке...почему не работатет

zhorik, сейчас посмотрела: KiUserExceptionDispatcher вызывает _RtlDispatchException а там делается проверка, находиться ли обработчик в стеке....

Сообщение от: lhc645, 15 авг 2009 в разделе: WASM.WIN32

Результаты поиска

Быстрый поиск