трабл с обработкой sysenter

Не, не! все дело в аццких некросовтовских вендах! типа хрюна и практически такого же мастдая вин2к3...

В правелных системах (таких как ацтойная w2k), sysenter просто не заюзан, и оставлен на усмотрение кернельхацкера

 

Код (Text):

1. Module: ntoskrnl.exe
2. Section: INIT
3.     push FFDF0304   ;Указатель на переменную, принимающую адрес функции в ntdll
4.     push 005DE254   ; ASCII "KiFastSystemCallRet"
5.     call 005DE121   ;Не экспортируется; KeGetProcedureAddress_
6.     test eax,eax
7.     jl short 005DE1CC
8.     mov dword ptr [FFDF02F8],0C3    ;Opcode Ret
9.     and dword ptr [FFDF02FC],0
10.     ret
11. -----------------------------------------------------------------------------------
12. В начале обработчика sysenter есть команда:
13.     push dword ptr [FFDF0304]
14. -----------------------------------------------------------------------------------
15. KUSER_SHARED_DATA <>
16.  
17. ReturnOpcode            ULONG ?         ;+2F8h  ;Opcode 'Ret'=0C3h
18. Undefined3          ULONG ?         ;+2FCh
19. SystemCall          PVOID ?         ;+300h
20. SystemCallRet           PVOID ?         ;+304h
21.  
22. 7FFE02F8  000000C3
23. 7FFE02FC  00000000
24. 7FFE0300  7C90EB8B  ntdll.KiFastSystemCall
25. 7FFE0304  7C90EB94  ntdll.KiFastSystemCallRet
26. -----------------------------------------------------------------------------------

 

А тупо взять SoftIce и посмотреть в чем дело? Только не ставь при отладке 0xCC в начало своей ф-ии systenter,у айса почему-то сносит крышу.

 

вобщем не знаю чо у вас не работоет, вот мой код.. песал давно, щас только убрал лишнее, скампилел, запустил под ВМ, вроде пашет
http://frmn.org.ua/upload/sys.rar

 

в статьях Рэма всё написано