krabz В WinDbg есть команда gn - продолжить исполнение, не обработав исключение
Aids Команду .pagein для памяти UM-процесса нужно делать с параметром /p
Проблема в том, что нет второй машины а SoftIce/Syser не пашет? Решение: WinDbg:http://www.microsoft.com/whdc/devtools/debugging/default.mspx +...
Llirik Нужно воспользоваться отладчиком, например используя VM. В дампе четко видно, что: kd> dt nt!_DEVICE_OBJECT -b 8a53a1b8 ... +0x028...
В драйвере создаются устройства с DeviceExtensionSize = 0 при вызове IoCreateDevice? Если да (например, это управляющее устройство), то у него нет...
Имея на руках ThreadId (читай: описатель из nt!PspCidTable) приведенный код еще раз линейно идет по содержимому таблицы nt!PspCidTable......
А совет-то не плохой: если не умеем читать дизассемблерные листинги, то открываем реализацию nt!PspCreateThread() в WRK. И в ней видим, что вызов...
Нет, конечно не правильно. Какие именно операции над таблицей описателей интересуют? Разные операции требуют разных манипуляций над...
В общем случае - нет, решая частные задачи - да
Для имперсонации можно использовать уже существующий токен процесса нужного пользователя: http://msdn.microsoft.com/en-us/library/aa379295(VS.85).aspx
Great А откуда у многих такая любовь таскать за собой h-файл с PE-структурами? почему бы не использовать ntimage.h?
Память, выделенная в куче, условно говоря, выделяется для конкретного процесса (в частности на это указывает адрес 0x0027f8e4). А "другая функция...
mavok "Учите мат.-часть"(С) : организация страничной адресации, виртуальная/физическая память, реализация в ядре NT-based OS, реализация адресного...
Решить поставленную задачу можно с использованием MDL - http://msdn.microsoft.com/en-us/library/ff565421(VS.85).aspx. Механизмы MDL позволят...
Honorary_BoT Если это при отладке "своего" процесса с отладочными символами, то нужно выключать "Source mode" тогда трассировка будет происходить...
DevilDevil У IDA есть самопальные скрипты + python. Думаю, не сложно написать скрипт, который решит требуемую задачу
Использовать фаер с привязкой к адаптерам (VPN это отдельный виртуальный адаптер) и реализацией системы низкоуровневых IP-правил. Можно посмотреть...
Учимся правильно задавать вопросы :) В каком контексте нужно: при динамическом исполнении или статический анализ исполняемого файла? Если в...
"Как работать с односвязным списком на C?" Отличный тема для NT.KERNEL
Если в списке больше одного элемента, то последний никогда не будет обрабатываться. Условие (pCurrProcInfo->NextEntryOffset) означает что нет...
Имена участников (разделяйте запятой).
