Thetrik, На 8-ке нечто странное, NtQueryInformationProcess имеет 5 аргументов: R10, RDX, R8, R9, [RSP]. Если вызвать с переключением стека(xchg...
Thetrik, T3 это код: mov r10d,esi mov edx, edi syscall jmp far m16:32 ... push аналогичный твоему: jmp far m16:32...
Наверно что бы кто тупо это запустил и дал отчёт нужно ждать до весны :sad: Мне необходим этот тест. Thetrik, Вот ты вовремя. Запускай...
hiddy, > А вот проблема с последующим сканированием памяти античитом так и не решена. Давно это решено, можете посмотреть...
Thetrik, А на моём семпле как ? Thetrik, > Интересно это документировано вообще такое поведение? Нет конечно, это баг какой то, может даже...
Thetrik, Вот собрал для теста. На 10-ке есть в wow64cpu после возврата из sysret этот код: Thunk0Arg: call CpupSyscallStub mov r14,rsp...
M0rg0t, Тебя просто сломали вот и всё.
Забыл написать почему такое не происходит на 86. В режиме совместимости(compat mode) набор селекторов как и в 86. В 64 эти регистры не...
Я немного подумал, получается вот что. Так как у меня нет ос где эту ошибку можно повторить, то я могу лишь теоретически проанализировать. Если...
hiddy, > Можно просто перехватить NtContinue Ничего не выйдет. Во первых это первый сервис, который мониторит любая защита, античит в...
Thetrik, Нет видимых причин для исключения, стековая память ведь не изменна, как и указатель. Попробуй прочитать TEB, mov eax,fs:[0] и стек mov...
Thetrik, Я имею ввиду запишу вместо pop edi -> pushfd, за ней точку останова и посмотри на стеке флажки.
Thetrik, EFlags = 00010256 EFLAGS.i16 Resume Flag (RF) Не должен он быть взведён. Посмотри 4020EF -> pushfd что там на самом деле что бы...
Имена участников (разделяйте запятой).
