Именно так. Хотя можно оставить в cpp и сделать явную специализацию: f.cpp template <typename X> class A { bla-bla-bla }; ... template<>...
Хе. Вот это, конечно, более всего любопытно: (А что будет, если выставить ему delayed-start?) Ну и первым делом нужно было сделать это, но лучше...
Хм. Не, UAC вряд ли замешан. Разве что косвенно. Может быть, какая-нибудь гречиха с правами доступа? Например, для пользователя, от имени которого...
Что это пишет? Может быть, опять UAC настроен против тебя?
А, запрет доступа к "\Device\PhysicalMemory" из третьего кольца – это не есть PatchGuard. Это просто запрет доступа к "\Device\PhysicalMemory" из...
А сам по себе класс "CCallUsermodePacket" используется? Возможно ли, что в полной версии "CCallUsermodePacket" – шаблонный класс? "volatile" для...
Вот как. Ты же 6opoDuJIo, глава секты! P.S. Выпад, видимо, происходит всё же в другом месте. Лол.
arrrg Отвечай заданные вопросы.
Окей, после сбора всего вышесказанного возникают очередные вопросы. Какой адрес хранится в переменной "numberr" на момент выпада? Придётся...
Что ж, похоже это не может быть поможено. Покидаем тред. P.S. Намёк на решение проблемы (одной из).
Да можно и через mov. Только тогда вместо "lea ecx, [ebp+8]" нужно написать это:mov ecx, ebp add ecx, 8 Смысл тот же, но lea короче и понятнее...
Ох. Это не делает материи же. Просто сравни значения параметров для ReadFile в рабочей и нерабочей версии – всё сразу будет видно.
SPA TSS Вы, ребята, великолепно уловили суть нашего поста. Нам ничего не остаётся, кроме как передать вам заслуженный приз. Пользуйтесь на...
Маловероятно, что это уже детектируется. Всего два года с небольшим прошло с момента публикации статьи – индустрия защиты не настолько серьёзный...
Верно, нужно через Message Loop. [ while GetMessage() {DispatchMessage();} ] А задержка перед выводом символа – это, видимо, LowLevelHook...
Можно сделать первым байтом шелкода int3. Выглядит странно хотя.
CyberManiac Ха. Живут и здравствуют, ибо fastcall-то fastcall, но чего-то он на cdecl смахивает слегка ;)
Тогда, раз отладочная версия работает, один может сравнить содержимое 'ovpr' перед вызовом ReadFile в Release и в Debug.
Используется вот Overlapped IO. А один убеждён, что OVERLAPPED-структуру при работе с портами можно [почти] не инициализировать?
GoldFinch Один оставлял бы только memcopy. Соптимизируют – хорошо, а нет – так 4-8 байт и через memcpy быстро пролезут, ага. Особенно на фоне...
Имена участников (разделяйте запятой).
