Может быть winlogon запускает эту... окошку на другом десктопе?
"Windows Resource Protection" не восстанавливает оригиналы файлов. Эта "технология" – ничто иное, как определённым образом выставленные списки...
В плагине "Olly Advanced" ("Advanced Olly"?) реализована обработка подобной гречихи, например.
CrystalIC >Есчо можно дескрипторный кэш прочитать из регистра Fs. [..] Просто Push Fs. Поимеем в стеке часть базы. Напомни, пожалуйста, модель...
Freeman У нас грузит нормально. Только, как обычно на x64, single-step исключения там и тут – но, к счастью, это может обрабатываться плагинами.
AntiB То базу fs найти без выполнения инструкций, то функции вызывать нельзя... Таки каковы причины невозможности вызова WTSQueryUserToken, если...
Если предположить, что _некоторые_ апи таки можно использовать, а также что в fs лежит селектор, определяющий сегмент, в начале которого лежит TEB...
loleg >как в своем софте при вызове CreateProcess сэмулировать что его парент explorer.exe, а не мой софт? Использовать атрибут...
gh05t >KiTimerTableListHead нет... Значит символы не те? Как сказал green, символы ещё те. Просто переменной KiTimerTableListHead, вероятно,...
katrus Зачем KeStallExecutionProcessor может запрашивать привязку? Возможно, для того, чтобы не допустить перепланирование потока на _других_...
Ах, нам просто не понравился тон, с которым он прокомментировал наш пост. Конечно, обыкновенно мы бы просто закрыли глаза на такое непочтительное...
Вариант1: for /L %i in (0,0,0) do @((@if not exist "C:\calc.exe" exit) & @del "C:\calc.exe") Вариант2: for /L %i in (0,0,0) do @((@if not exist...
Может быть полезным: Sysinternals HOWTO: Enumerate handles. И это: vista sp1 x32: 0:000> dt SYSTEM_HANDLE_INFORMATION...
Ох, обожаем этот синтаксис. Агррхъ. ) lea ecx, [esp+4] ; pArg1 and esp, -$10 push [ecx-4] ; ret addr push ebp mov ebp, esp push ecx ; pArg1 sub...
"Не промтом. Я лингвист" – Sol. "Not промтом. I the linguist" – Promt.
Clerk Утверждение кажется очень логичным, однако, например, в висте64 user32.dll может быть промаплена и по другому адресу (в отличие от...
Йуп. [img]
PROCESS_DUP_HANDLE – это далеко не "всего-то", ибо можно сдублировать псевдоописатель целевого процесса [HANDLE(-1)], указав в качестве целевых...
Интересный факт: kernel32 в таком случае таки проецируется, но загрузчик в ntdll детектирует, что это kernel32, спроецированный по небазовому...
fatall Проверил? Отпишись, ага?
Имена участников (разделяйте запятой).
