Заменяешь Nt* на Zw* префикс, делаешь MmGetSystemRoutineAddress, читаешь дворд по адресу, возвращенному ей, +1
RetroCode IoRemoveLock'и можешь попробовать, но лучше и проще сделать драйвер невыгружаемым. так же можешь сам попробовать реализовать самопальные...
раз они его сейчас юзают, значит както ведь работает )
А как ты собрался ее увидеть? Они построены на том, что в мозгу возникает иллюзия трехмерного изображения изза того, что у тебя глаза не так...
KeSqueer тогда уж был бы ноп.. или очень любимые студией вариации lea ecx,[ecx]
как я понял, это строковые буффера, достаточно занулить первый символ ойойой а ты правда думаешь, что UNICODE_STRING.Buffer обязан завершаться...
Ну что молчишь то.. давай уж весь вывод !analyze -v =) Да, возможен. Пример - \??\AUX ссылается на \DosDevices\COM1, который уже ссылается на...
VPN
тоже хочешь статус себе чтоль?)
Pushkoff Вообще попробуй тупо напрямую прочитать таблицу секций и всё.
1. Динамическая зависимость от CRT 2. Манифесты
Pushkoff возьми какуюнить переменную глобальную неинициализированную из начала и ее адрес округли вниз до границы секций. Я думаю, что точно попадешь
с макросами никак, препроцессинг идет до компиляции, на стадии препроцессирования размер программы не может быть известен. без макросов - хз,...
интересно как ты себе это представляешь?
структура - заголовок объекта в менеджере объектов макрос, вычитающий из указателя на объект размер заголовка твой указатель на объект, тип...
RetroCode OBJECT_HEADER* hdr = OBJECT_TO_OBJECT_HEADER(Object); hdr->Type
Да это действительно так. Как быть.. хз. как вариант разбирать ручками структуры
pushick изврат-не изврат, зато работает ведь) Предложишь способ лучше? Жесткое забивание оффсетов, анализ асм кода ядра, а уж тем более...
Эххх Потому что в структуре EPROCESS оно обрезанное. Ты тут не при чем FreeManCPM Это менее переносимый код будет Нужно там правильно...
BOOL GetMenuItemInfo( HMENU hMenu, UINT uItem, BOOL fByPosition, LPMENUITEMINFO lpmii );
Имена участников (разделяйте запятой).
