Помогите найти косяк

only

Как было замечено TEB и PEB на разных NT системах могут незначительно отличаться (и опять же тут важны заплатки и сервис-паки). Не зря МС крайне не рекомендуют их использовать, т.к. могут их менять без предупреждения. Я уже столкнулся один раз с тем что моя программа не запахала ровно на одной машине из 20 где вроде бы всё было одинаково. Везде была 2000 винда. После плясок с отладчиком оказалось что в PEB ссылка на список модулей была не там где обычно. Потом выяснилось что там какую то заплатку ставили.

Ну кому не актуально, а кому очень даже. Моя основная ось 98se. XP и vista тоже есть но их я не очень люблю. Они мне нужны для работы и просто чтоб не отставать от прогресса. Я считаю что совместимость должна быть. Я знаю не мало людей что сидят на 89 и милениуме. А в небольших офисах и на складах это обычное дело. Даже фрэймворки от МС поддерживают 98.

В прямом. Засчитает за вирус или шпионское ПО. В одном антивирусе-защитнике вообще был финт. Он метил страницы PEB флагом guard　и соответственно его обрабатывал. Если доступ к этим страницам был не из системной библиотеки то он просто подставлял при чтении нули и игнорил записи.

 

для кернел32.длл лучший хеш h=h*5+c (lodsb/lea edx,[edx*4+edx]/add edx,eax), имхо

 

Вроде бы ПЕБ растет только вниз.
Но нужно проверять. Точно не знаю. Проверял только сп2 и сп3 XP.

ПЕБ может использовать например навесная защита, так что это странно, максимум, что можно сказать, что файл подозрительный, но подставлять какие-то данные точно глупо, может нарушить работу возможно просто защищенных программ.
GoldFinch

тот в котором вероятность коллизий при обработке подобных данных минимальна.
ну а в том что ты указал например, порядок следования байт данных не имеет значения - врядли это нормально
SHA-1 взять и сложить все слова. Вот тебе и хеш.

 

С этим хешем коллизий обнаружено не было
Порядок следования байт там имеет значение