Мое почтение всем. Хочу в своем дизассемблере (Mediana) выставить флаги операций над операндами 'RWX'. Я попробовал сделать это скриптом,...
В том смысле, что ошибся мерзко.
Акелла промахнулся. Дома проверю, там у меня еще один вопрос был, но есть вероятность, что он отпадет. Если тема так уж неприятна, можно удалить...
Мое почтение всем. Перехватываю NtQuerySystemInformation в SSDT в целях сокрытия процесса. С самим перехватом все Ок. Затем прохожу по списку...
b4320 -- это смещение относительно базового адреса загруженного модуля, соответственно, чтобы высчитать виртуальный адрес, надо сложить базовый...
Я не уверен, что понял точно, но, по-моему, нужна директива 'org 0ffff0000h' :).
Не обратил сразу внимания: перед вызововм cVar = 0. В нее надо записать размер буфера перед вызовом.
Как уже спросили -- какой статус возвращается? И что находится в переменной cVar после выполнения ф-ии?
Спасибо, это как раз я понимал, вроде. Просто не обратил внимания на то, что MmProbeAndLockPages заполняет PFN для MDL. l_inc указал мне на...
Мое почтение всем. Читаю про MDL, появилось несколько вопросов. 1. Насколько я понял, с помощью MDL можно спроецировать несколько страниц из...
vb_man Из-за синтаксиса фактически. Т.е. 'char *ptr = "abc";' говорит компилятору: "размести строку в секции данных, а во время выполнения ф-ии...
Строка улыбается :). Суть в том, что в первом случае "TEST_String" размещается в секции данных, а во втором -- в стеке, который нельзя...
Завершающего нуля таки нет.
Падение, если верить стеку, произошло в DbgPrint: f9eb2c08 f9cfc61d f9cfc940 f9fd2000 f9fd0000 nt!DbgPrint+0x1a f9eb2c54 f9cfc68b 8151e528...
А 'DbgPrint("%s")' где-нибудь в коде встречается? Такое ощущение, что вызывается 'DbgPrint("%s")' для строки без завершающего нуля.
Clerk Ну да, просто с твоих слов я понял, что стек общий, а это не так. Поэтому несохранение trap frame ничем не грозит. В принципе, можно...
Можно и отморфить. Для меня важно было понять, что происходит, а не добиться цели. Кстати, посмотрел я на ss:esp, которые в TSS. Их содержимое...
Clerk Я не думаю, что проблема в отсутствии у меня KTRAP_FRAME. Допустим, выполнение происходит во второй части кода, кода уже произошел возврат...
PSR1257 Проблема не в том, что я делаю iret, а в том, что мой код работает с разрешенными прерываниями. И запретить эти прерывания никак не...
Посмотреть код в IDA, перенести к себе и собрать. Тоже самое, но руками. Но не суть, идея ясна.
Имена участников (разделяйте запятой).
