как уже сказали, блок трай-експет не спасет от PAGE_FAULT_IN_NONPAGED_AREA
постить два раза подряд совершенно необязательно
да-да, именно так.
я тоже, когда неумел, решил экспериментировать и в итоге, конечно, научился. так что успехов. да и еще.. не паяй в одних трусах над ногами.. не...
С проверкой памяти на валидность всегда были проблемы в ядре. Для проверки юзермодных буферов, безусловно, рулит ProbeForRead. Для проверки...
если содержит пробелы, то заключено в кавычки обязательно. в общем случае обратное неверно
загружаешь совершенно левый бинарник, хоть блокнот, хоть калькулятор. выбираешь любую инструкцию и жмешь пробел (Assembly). Вводишь команду mov...
трудная у тебя жизнь, однако, пиво курить =)))
xdf колец всего 4 штуки, А у тебя выходит аж 8 если три бита..
ЭЭ ну какбы у него нету PEB вроде и ему незачем имхо
есть. но не сравнивай WinDbg и гдб, это небо и земля по юзаюбильности
в нтдлл это одно и то же. а в ядре Zw* это переходники
Agent_Smit дрова можно грузить, но от учетки администратора, а проги даже от логина администратора по дефолту запускаются с обычными правамию....
ну посмотри в иде как оно реализовано там, хз.. либа, отвечающая за собственно шелл - это вроде shell32 и browseui. открывай последнюю в иде и...
подсказко - перехватывай NtCreateSection (SEC_IMAGE).
ну так качай и учись. че мешает. хорошее средство для отладки
читай про форматы PE, COFF
rootkit unhooker
Попробуй - узнаешь ;)
посмотреть ссылку в каталоге объектов. Все диски - символьные ссылки. У флешки обычно это будет вида \??\F: ссылается у меня на...
Имена участников (разделяйте запятой).
