В параметрах инструкции линейный адрес: он вычисляется, проверяются права доступа, адресная трансляция и тд, это все предвыборка(prefetch). Затем...
В IA нет дереференсов ссылок, тоесть нет обращений в память по указателю на указатель. В Buf указатель(ссылка) на буфер, в инструкции fxsave...
GdiSharedHandleTable проецируется как секция вот: // map a READ_ONLY view of the hmgr shared handle table into the //...
Механизм проецирования можно посмотреть, тут инит ядра, тут мап в процесс. Не известно как это работает, но открыть на запись usd нельзя, иначе...
Ссылка на таблицу может не быть в коде, так например в этой версии используется смещение ссылки в обьекте, те KTHREAD.ServiceTable. Другие...
Случайно нашлась публикация по теме сокрытия памяти: Splice: Efficiently Removing a User’s Data from In-memory Application State Какая то муть...
Research Предполагается эмулятор cpu, а не ос. Винь не выполняет теневую обработку инструкций для нэйтив мода, за исключением некоторых ловушек....
Research Как вам этот эмулятор, женский между прочим ;) Смотрим деление, не хорошо не плохо, но лучше чем своя алгор. реализация.
Поискал подходящие эмуляторы(которые не авер), готового не видно :sad: unicorn это вроде как транслятор(qemu), значит нужен буфер wx. Из тем по...
shanya0xff В некоторых сервисах есть проверка стека, если он не в диапазоне указанном в teb, процесс киляется. Сделано для защиты от rop. В...
shanya0xff Это получается транслятор, аналогичный dbi, с ограничением на исполняемую(wx) память. Не получится использовать кодовый кэш, куда...
Ссылка на ядерный обьект получается через ObReferenceObjectX, что синхронизирует доступ, но апи для слабаков ;)
shanya0xff Не понятно ничего. Это эмуляция нэйтива, интерпретация виртуализированного нэйтив кода или интерпретатор своего" вирт кода(своя...
Какого рода вирта? Это может быть интерпретатор или виртуализация нэйтивного кода(обфускация в общем), частичная эмуляция и тп. Нет четкого...
shanya0xff Интересно на каком принципе строится защита, трассировка кода ведь дает лишь последовательность инструкций. Занять отладочный...
shanya0xff Если кодовую память можно изменять, тогда лучше ветвление записать, что бы лишних исключений небыло. А для чего свое трассировать ?
Два режима, 32 подчиненный. Соответственно обрабатывать нужно в 64. Когда происходит переключение контекста, а это касается любых переключений,...
Research Ответ на ваше ошибочное мнение: Вначале следует ознакомится с материалом, который предполагается обсуждать, в частности знать значение...
Дальше значит что ничего не отсыхает", а надобности нет никакой.)
Это первый опыт проверить наследование приобретенных признаков. Тогда небыло науки, молекулярной биологии, биохимии посему нужен был эксперимент....
Имена участников (разделяйте запятой).
