ну так все нюансы предусмотреть-же нужно примерно так: .data localVar rb 256 stackFrame rd 64 .code start: mov esp,stackFrame...
Походу так и не починили эту крень? Чистил куки Хрома, отмечал везде где можно "прочитанным", а оповещение так и висит уже месяц.. [ATTACH]
..для ленивых имеется и другой вариант - собрать все аргументы по порядку в секции-данных, и просто переместить указатель стека ESP на начало...
Mikl___, угу.. первые(3) способа сразу в топку, т.к. это те-же яйки cmp/jump только сбоку. а вот табличные методы начиная с 4 уже рулят - к ним...
забавно видеть массив cmp eax,.. для выбора соответствующих строк.. cmp eax, 04000h jae SystemLevel cmp eax, 03000h jae HighLevel...
да, есть детект в логе..
Как я понял здесь всё крутится вокруг регистров отладки DRx что ли (хард-бряки)? Так плагин "ScyllaHide" для x64dbg перехватывает-же обращения к...
format PE console include 'win32ax.inc' ;----------------------- .code start: invoke GetStdHandle,STD_OUTPUT_HANDLE mov [pos.X],40...
Это реакция оли на секцию tls, а потому на практике трюк не завоевал доверия, и его нужно расценивать как просто ещё одну возможность в теории....
alex_dz, лежит рядом..
EntryPoint - дело о пропавшем индексе (часть 1,2)
mov eax,dword[fs:30h] ; PEB_32 mov rax,qword[gs:60h] ; PEB_64 ;----------------------------------------------- 0: kd> dt _teb32 nt!_TEB32...
В регистрах х32 нет ничего плохого, тем более что запись в eax автоматом обнуляет старшие 32-бита в rax (это касается и всех остальных 64-бит...
IsUserAnAdmin() из Shell32.dll (без параметров) возвращает True, если запуск под админом, иначе False. Не смотря на то, что мокрые считают её...
какой (козе в трещину) веснухин? Если-бы ты прочитал хоть одну книжку, то наверняка узнал-бы о такой/простой истине. Ещё раз говорю, что ос не...
хрень какая-то... мбр создаёт софт, который делит твой диск на разделы, типа PartitionMagiс, причём здесь ос? Короче иди дальше читать Рихтера..
причём тут ос, когда мбр описывает разметку самого диска, а не системы? если есть любой рабочий хард, то через редактор HxD копируется LBA(0) и всё.
да зачем мне лазить по непонятным ссылкам, когда я выше выложил свой мбр из реальной машины. если у тебя одинаковый, ну и ладно.. ищи проблему дальше.
у вм нет своего биоса, и они всегда грузятся с диска(0) = 80h. поэтому код загрузчика будет отличаться, что легко проверить. установи на машину...
судя по таблице разделов это мбр виртуального диска чтоли? тогда 80h будет совпадать как с номером hdd(0), так и с бут-флагом раздела.
Имена участников (разделяйте запятой).
