Ursus А обычный размер файловой записи NTFS – 1k. И если все сорта атрибутов (в т.ч. таймштампы, имена файла и поток данных) помещаются в этот 1k...
Clerk О, ясно. Не рассматривали это как некий сорт антиотладки, поскольку в этом случае поведение под отладчиком (т.е падение программы) должно...
Может быть не совсем то, что нужно, но как некий частный случай – при знании имени образа, его таймштампа и виртуального размера можно слить его с...
Clerk Так вот не падает же. Плагины убрали, Olly чистую запустили – всё равно не падает. Другое дело, что на нашей винде по умолчанию включена...
А чтобы батник потестить и косяки убрать – а свой проект создавать неохота, ага. Ну да ладно, вот однолинейник: @del order.txt & (@for %f in...
Так всё так. Только Pre-Link Step добавить, чтобы перед линковкой все нужные действия сами выполнялись. Если один кинет сюда минимальный проект...
+Убрать неиспользуемые хвостовые IMAGE_DATA_DIRECTORIE's. Один может посмотреть, что делает LordPE при действии "Rebuild PE".
Clerk Хм, любопытно. У нас почему-то не выпадает (просто пишет в статусной строке "Too long (Recursive?) SEH chain"). vg Edit: >ожидается, что...
Символы бы настроить. Без них совсем адово. (Например: .symfix, .sympath).
vg Не совсем. Неточность 1: не в процессе, а в потоке – SEH-фреймы специфичны для потока (указатель на первый фрейм находится в структуре,...
max7C4 У нас, лайк, различаются оценочные функции. И это, видимо, нормальное явление. Подобный вариант, будучи реализованным без всяких беговых...
Решения типа Sleep\FindWindow ужасают. CreateProcess – параметр STARTUPINFO.wShowWindow значит, не работает? Окей, можно попробовать создать...
>Так все равно пока на х32 делается все Ясно. Тогда сейчас не получится сказать, где ошибка. >код и так работает в Inline режиме что есть разница...
Размерность указателя в х64 – 64 бита. Сюрприз, ага. Поясним: для buf, sptr и прочих указателей нужно использовать уже не DWORD, а QWORD. Видимые...
Пишет сервис же, из ядра. Точнее, пытается писать – но наталкивается на PAGE_GUARD, в ядре возникает сепшн, ядром обрабатывается, PAGE_GUARD...
Edit: Имелось в виду, конечно же, '!fileobj (poi(81bfcd80+44))'. x64 Почти что временной парадокс :)
0:000> dt CcFlushCache; ntkrpamp!CcFlushCache CcFlushCache void ( _SECTION_OBJECT_POINTERS*, _LARGE_INTEGER*, unsigned long,...
Покажи ради интереса как сохраняешь. А то CcFlushCache(NULL,..) не выглядит цельным для нас.
984259h Плохо считал: Win7 x64 RTM ntoskrnl.exe, md5 = 9e722b768e33d26ad8fa7d642e707443 Number of exported symbols: 2111 Number of exported...
l_inc А таки почему 'SYSTEM_PROCESSES'? Определение SYSTEM_PROCESS_INFORMATION — есть, а SYSTEM_PROCESSES — нема. struct...
Имена участников (разделяйте запятой).
