0: kd> k Child-SP RetAddr Call Site fffff880`009a9b38 fffff800`03dae56b nt!KeBugCheck fffff880`009a9b40 fffff800`03cfe979...
по мини дампу мало что можно сказать 1) судя по стеку повреждена память ядра 2) неизвестный модуль в системе fffff880`04338000 fffff880`04352000...
ntcdm теоретическая часть: Intel Manual Volume 3A part 1 PROTECTION->PAGE-LEVEL PROTECTION и в атаче практическая
x86 PTE_BASE = 0xc0000000 x64 PTE_BASE = 0xFFFFF68000000000UI64 pPTE = MiGetPteAddress(va) ((PMMPTE)(((((ULONG)(va)) >> 12) << 2) + PTE_BASE))...
ntcdm >>Почему же у меня меняется эта ДЛЛ-ка в других процессах. потому что сброс бита write protect в CR0 позволяет писать(из kernelmode) в...
берем эту тулз http://technet.microsoft.com/en-us/sysinternals/bb897415.aspx и вот эту...
BSOD происходит потому что ты затираешь nt!KiArgumentTable kd> dps nt!KeServiceDescriptorTable L4 8089f7e0 80831b20 nt!KiServiceTable 8089f7e4...
0: kd> vertarget Windows 7 Kernel Version 7600 MP (2 procs) Free x64 Product: WinNt, suite: TerminalServer SingleUserTS Built by:...
значит запускай verifier.exe для нахождения ошибки, либо отладчик в руки по твоему дампу ничего выявить невозможно
JCronuz как вы думаете что произойдет если uSize + 1 будет меньше ufSize? p = (PCHAR)ExAllocatePoolWithTag(PagedPool, uSize + 1, 'tag1'); ufSize...
у вас либо проблемы с ОЗУ, либо какой то код модифицировал ntoskrnl.exe - для начала замените ntoskrnl.exe из дистрибутива - проверьте ОЗУ -...
JCronuz проблема в этой функции ReadDataFromFile(FileName.Buffer, p); так как больше негде запустите verifier.exe, это вас приблизит к нахождению...
выложи минидамп
пути к сорцам находятся в pdb файле, путь к pdb файлу в исполняемом файле в debug directory, так что никак
под отладчиком kd> !dh 400000 File Type: EXECUTABLE IMAGE FILE HEADER VALUES 14C machine (i386) 3 number of sections 4011B0BE time...
загруженная в память секция (остальная часть страницы памяти обнулена) [img] обнулим байт для получения корректной таблицы импорта [img] [img]
FiDO_DispatchPassThrough proc pDeviceObject:PDEVICE_OBJECT, pIrp:PIRP IoSkipCurrentIrpStackLocation pIrp mov eax, pDeviceObject...
Euler скачай neatpad18.zip отсюда http://www.catch22.net/tuts/neatpad/18 Options.c функция void ShowOptions(HWND hwndParent)
инициализируй ViewSize = 0;
Guru_of_Zen похоже что от общения со своими бухариками-одноклассниками и знакомыми-наркоманами вы почувствовали себя супер героем, а всех вокруг...
Имена участников (разделяйте запятой).
