нет это влияет на набор инструкций. читайте хелп к масму и задавайте в командной строке. все равно масм юзает тот же мслинк, где стек задается...
зависит от настроек компилятора/линкера. какой компилятор? какие опции линкера? какая ос? например, для ОС Windows и линкера mslink дефолтный...
а статический импорт больше не в моде=)
karabas_barabas #pragma comment (lib, "ntdll.lib") extern "C" VOID _cdecl DbgPrint (PCH, ...); ... DbgPrint ("lala");
skomarov я таки говорил что обычный маппинг лучше самопальных решений (в 80-90% случаев)
а я не предлагал менять алгоритм. я говорил про алгоритм подкачки, который собирались писать самостоятельно на экцепшонах
Вопрос - какого *** не подходит обычынй мапинг? ОС _НИКОГДА_ не проецирует файл полностью без надобности. Будут созданы только элементы таблицы...
lhc645 не эквивалентно OutputDebugStringA. Используются разные механизмы.
Mikl___ неужели? Это и есть PsGetCurrentProcess(), только в асм виде не надо отсебятины, не редактируйте напрямую поля EPROCESS
VC6.0 красивая иде?) Собирайте как Си-сорс, в 2005/2008 - бустер дело говорит.
at0s если иркл меньше 2, то обращаться к выгруженной памяти можно и она сама подгрузится. если больше или равен 2 (DISPATCH_LEVEL), то никак...
Тебе выделяются частные копии страниц, когда ты делаешь ZwProtectVirtualMemory. Их ты и изменяешь. Другие процессы видят оригинальное содержимое
Mikl___ Не стоит юзать поля EPROCESS/KPROCESS, ETHREAD/KTHREAD. Они сильно отличаются от версии к версии. Сделай процессу ZwSetInformationProcess...
Не понял, где патчите нтдлл, в памяти или на диске? Это раз. Если в памяти, то патчите read-only секции или writeable тоже? Что такое...
add psapi.lib import library to linker options
K10 UPD: действительно)
Это не код ошибки, это даже не код предупреждения. Это информационный код - секция проецируется, просто винда подсказывает - этот образ загружен...
haxorart Странно кстати, авторы там пишут, цитирую а сами полагаются на VirtualSize во всех случаях в RVAToOffset() На самом деле, достаточно...
Да, проблема в том, что поле, содержащее RVA, называется IMAGE_SECTION_HEADER::VirtualAddress. Но там лежит относительный виртуальный адрес....
не спасет от DLL_PROCESS_DETACH да, и оффсет вроде фиксирован. там же есть и указатели, чтото типа FastLoaderLockRoutine, FastLoaderUnlockRoutine.
Имена участников (разделяйте запятой).
