AndreyMust19 А удалённые потоки зачем ? Наверно что лдр прочитать в текущем процессе, как это делает RtlQueryProcessDebugInformation(), ну или...
Админу - забыл повыделять, верните наконец мне возможность обновления поста.
Я не сильно разбираюсь в этом, но так как окно формирующее консоль принадлежит защищённому csrss, а механизм сообщений локален, то в текущем...
Да.
leo Я уже сказал, скока раз повторит нужно. NtAllocateVirtualMemory резервирует одну страницу. P4.
Shelwien Вы сомневаетесь что можно только с помощью оли писать в системное адресное пространство ? А хамить - это кто есчо хамить начал..
Это ведь GUI. Оно не юзабельно, глючит постоянно и пр. Я не реверсил есчо тот ядерный сервис, но думаю это всеголишь простой запрос на порт, судя...
Shelwien Мальчег я уже мильён раз её и не только видел, что я там новое увижу ?
Ну как обычно делается. Проходим каждую инструкцию, находим необходимую последовательность опкодов и пр., затем извлекаем смещение.
NtFlushVirtualMemory. Shelwien А что Sysenter, юзает чтото иное ??
KeBugCheck2() дизасмить нужно. Можно релоки пропарсить, но не эффективно, поэтому взять дизассемблер длин и найти ссылку, там их многа на эту...
Посмотрел как оболочка выводин сообщения(это если в NtRaiseHardError указать OptionOkNoWait). csrss обрабатывает запрос на порт, в конечном итоге...
Чтото заклинило, искал в меню IE пункт Debug -> Close. Спустя секунд 10 понял что это не дебуггер..
KiSystemServiceRepeat трассировать.
По адресу в юзермоде 0x7FFE0030 прочитать дос имя диска(в виде символической ссылки), либо в ядре соответственно по адресу 0xFFDF0030(физ. 0x41000).
Ну так ядро ведь не экспортирует memcmp(), конечно что неоткуда взять. Наверно асм вставки не известно как делать, тогда подойдёт чтолибо типа...
64x винда это убогая ось, не бери этот проц, возьми нормальный 32-х разрядный.
В руткитах импорт ахаха.)
(PIC) - Position Independent Code .D
mov eax,fs:[TEB.Peb] mov eax,PEB.ImageBaseAddress[eax]
Имена участников (разделяйте запятой).
