На 64 битке отсутствуют KiFastSystemCall\Ret

По крайней мере в ntdll.dll win7 6.1.7100 и в 2003 5.2.3790 нету их.
Из Ki* оставили только

Код (Text):

1. KiRaiseUserExceptionDispatcher
2. KiUserApcDispatcher
3. KiUserCallbackDispatcher
4. KiUserExceptionDispatcher

Никто ничего не слыхал ? мейби заменили на что-то ? Или вообще убрали?

И вообще, чем тогда ловить syscall и call dword ptr fs:[TEB.WOW32Reserved] ?

 

мм, ты же вроде дизасмил ntdll.dll 64битки, не?
Если дизасмил, то там вроде всё ясно. - почему нету.

 

Видимо 64 битка кривая... На моей вин7 х64 РТМ всё есть.

 

В ntdll из system32 - нету, из syswow64 есть, но они бесполезны.

 

Кто сказал такую глупость? C:\Windows\system32\ntdll.dll
KiFastSystemCall - 7DE801A0h, index 106.
KiFastSystemCallRet - +04h, index 107.

 

Flasher

Syscall ничем в юзермоде не словить, также как и прерывания и Sysenter.
Для стуба, если он выглядит call dword ptr fs:[#], что весьма сомнительно.. заменяйте указатель. А вобщем уже давно пора начать юзать отладчик.)