Есть адрес памяти в ядре, принадлежащий Section object. Не файловый, предположительно SEC_RESERVE. Задача получить информацию об объекте: стартовый адрес, размер, заголовки, атрибуты защиты, какие хендлы и мапинги у каких процессов имеются, и т.д. и т.п. Интересуют все методы: ядерный отладчик, юзермодный отладчик, Nt/Zw* вызовы и т.д. Заранее огромное спасибо.
режим телепатии включен... может он имеет ввиду, что образ был руками смаппирован в ядро, а не загрузчиком... но в этом случае, если нет PE заголовков в памяти, то точку входа не найдешь... если есть заголовки, то отсканить память страницами назад до DOS сигнатуры, оттуда в заголовках найти точку входа... --- Сообщение объединено, 11 авг 2019 --- или речь вообще идет не об исполняемом коде? не понятно канеш...
