Проблема решается банальным патчем.... ну очень просто. .text:00401362 call sub_401EDE .text:00401367 movzx eax, al...
[ Max: <font color="indigo]уже склоняюсь к методу Дохтура :)</font><!--color--> ] Наше дело предложить... IMHO, диалог сложнее писАть :)...
Вот ещё по теме ;) [img] _604077956__CustomMsgbox.rar
Можно через WH_CBT хук. [img] 63158126__Msgbox.rar
Если есть физ. адрес, то читать и писАть можно через объект \Device\PhysicalMemory. Ищи по форуму и гугли.
Это NtGlobalFlag под всеми NT-виндами. PEB STRUCT . . . NtGlobalFlag DWORD ? ; 0068h . . . PEB ENDS Enable...
[ blood: В нем нет обработки переключения контекста ] Ищи на rootkit.com "Detecting Hidden Processes by Hooking the SwapContext Function"...
sprintf
www.invisiblethings.org Слить PatchFinder + pdf и ppt к нему. Он как раз и трейсит пошагово в ядре. Ещё найди статью по нему (pdf)...
Тем, что можно было на айс переложить проверку условия. Три года назад хотел статью писАть по точкам прерываний. Вот кусочек черновика....
Была такая штука. Называлась breakpoint on memory range. Но это только в айсе под маздай. Под NT такого нет.
[ relikt: <font color="indigo]застряла эта запись в реестре, немогу удалить.....</font><!--color--> ] Если под w2k, то запусти "диспетчер...
Могу ошибиться, но, наверное, смотреть в сторону SetupDi... функций. Вроде, даже в MSDN описаны.
Ну что? Так никто и не попробовал со временем поиграться? А я вот попробовал - работает :) Единственно, недопёр я с полем TimeSynchronization....
Возможно можно заюзать ZwSetSystemInformation с классом SystemTimeAdjustment, установив отрицательные значение (хотя вряд ли это возможно), но в...
Я с подобной фигней при написании Strings.mac столкнулся. Как я понял, у масма, похоже, глобальная таблица символов. Если у тя ExitProcess равен...
А у меня схавал без проблем и ассемблируется в то что нужно. WINDOWS.INC for 32 bit MASM (Version 1.26e) Release 23 May 2003 Microsoft...
Ну, зер гут. Запомним.
THREAD 81478020 Cid 0624.08e4 Teb: 7ffaa000 Win32Thread: 00000000 WAIT: (Executive) KernelMode Non-Alertable <font...
Я, точнее ProcessExplorer, вижу несколько потоков. Все они чего-то ждут в NtQueryObject. kernelObject\CritSecOutOfMemoryEvent тут, наверное,...
Имена участников (разделяйте запятой).
