есть такая опция, однако. нарвался в настройках. загуглил. обнаружил случайно. сперва думал что малварь какимто хреном подцепил, аж вспотел. дело в том что сканя память клиента стим нарвался на подстроку, которая озаглавливает активную вкладку файрфокса. память смаплена, readonly. ну думаю - наверное следят за пациентами которые по читпорталам ошиваются итд. затем тоже самое я обнаружил и тупо в нотепаде. причем появляется маппинг вот в это время: то бишь между системным бряком и оеп. левых дллов не появлялось вроде. соответсно дальше переключаем вкладки в браузере и видим магию отображения в реалтайме. ну и в таком стиле всё но дело в том что опцион энтот в браузере отключён явно, а всё равно... по идее сурс этого должен лежать гдето в исходниках фиерфокса найтли, хотя не уверен,( но нужные методы всегда кореллировали с адресами по официальным pdbшникам,) просто кроме строк там и всякие обрывки классов окон и прочая невнятная муть - думаю есть чтото и более интересное. сорс найтли пока не могу скачать - с инетом беда, кто посоветует как секцию отыскать с который мапа идёт? погонять по процессам браузера в поисках хендла, дублировать, мапить, чекать? а если его нет? и пока не пойму как отловить момент появления маппинга и как они это делают ап: гмм и в винлогоне это и в двм. кто подскажет - ObRegisterCallback по процессу когда срабатывает? до проверки юзермодом своего пеба на предмет делать ли бряк LdrpDoDebuggerBreak или после? можт я не с той стороны или это интерфейс какой системный? но фокс без элевации, ясен пень
