dermatolog >Это было не НАШЕ утверждение, а твоё. Ну разумеется это было наше утверждение. Т.е. утверждение, которое высказал Sol_Ksacap. В посте...
dermatolog Гм. Нет, не похоже что это как-то влияет. Кстати, почему верхние адреса? У нас грузится на 0x10000.
dermatolog >Мой последний пост подтверждает мою же теорию Ты не находишь, что это было частью нашего утверждения #8? "при выставленном бите имадж...
Собрали тестилку. Тестилка запускается, показывает дефолтную и текущую ImageBase, а также узнаёт, применены ли релоки. Затем делает свою копию, в...
Дизрассматривайте ^этот^ пост. Он алогичен. Время было позднее – нам показалось, что в посте у dermatolog'а блокнот во втором случае не...
GoldFinch Таки С1. Просто Ubludok в первом посте не побайтово, а в виде слов показал вывод. Ubludok, можешь посмотреть, что по этим адресам:...
Удваиваем cppasm. У AMD значительно удобнее в этом плане мануалы организованы.
fatall Один может попробовать #pragma code_seg. Т.е. 'func_start' запихнуть в секцию ".text$FUA", 'func_end' – в ".text$FUZ", а нужные функции...
dermatolog Ах ты ж. Вот уж не подумали бы, что в висте сменят алгоритм, а в семёрке вернут предыдущее поведение. Возможно, взглянем на это поближе...
Upd: ну и, разумеется, без дебаггера файл тоже запускается, доходит до entry point и вскоре падает с исключением – напарывается на непофикшенные...
dermatolog >верно по крайней мере для exe-шников >даже если это EXE файл "По крайней мере" в данном случае имело значение "как минимум". Но, в...
Так это кандидатская же. Вообще говоря – далеко не самая бредовая. Лол. Demonolog Какое-то из приложений – лжёт. Один может взять третьего...
Luzer Учти, что бит IMAGE_FILE_RELOCS_STRIPPED в FileHeader.Characteristics, про который говорит dermatolog, в старых ОСях имеет особый смысл: -...
Мы таки скомпилили код из этих двух строчек, запустили, и... И ничего не висит, всё верно выполняется. Лол. zet Детектируй по UAC-иконке :) В XP...
Clerk Мы предложили получить дами исключительно из-за того, что не нашли простого пути для формулировки исчерпывающего и понятного ОПу описания...
Clerk В общем-то да, пожалуй многомегабайтный дамп здесь – излишество. С другой стороны, если нет прямого доступа к процессу, то, нам кажется,...
Clerk Ага, юзермодный. Мы и просим юзермодный минидамп – там информация о потоках (в т.ч. время выполнения и контексты), стеки потоков, инфа о...
Доставь дампы rundll – выполняющегося и "подвисшего на ShellExecute". Может быть кто-нибудь посмотрит. Один может и сам посмотреть – нужно взять...
Можно предложить ещё вариант – удаление привилегии SeShutdownSystem у ограничиваемых пользователей. Не отключение – она отключена по умолчанию – а...
Задаёмся вопросом, что общего у этой темы и этой. Лол.
Имена участников (разделяйте запятой).
