Текущий архив: 2009.12.06;
Скачать: CL | DM;
Вниз
RtlCopyUnicodeString и IRQL Найти похожие ветки
← →
Игорь Шевченко © (2008-10-06 12:14) [40]лучше windbg все равно ничего нету. оно (windbg) показывает типы для конкретной системы (точнее для той, для которой у него есть символы). Структура факт меняется, у win2003 она отличается от XP, у висты наверное тоже.
← →
Rouse_ © (2008-10-06 12:30) [41]
> Структура факт меняется, у win2003 она отличается от XP,
> у висты наверное тоже.
Да кстати... Приведенная мной структура актуальна для W2k
← →
slow!alfamoon!com (2008-10-06 18:39) [42]Ой. WinDBG надо, разумеется. В ДДК может не оказаться кое чего. + WRK заимей
← →
Riply © (2008-10-06 19:05) [43]> [40] Игорь Шевченко © (06.10.08 12:14)
> лучше windbg все равно ничего нету. оно (windbg) показывает типы для конкретной системы
> (точнее для той, для которой у него есть символы). Структура факт меняется, у win2003 она отличается от XP, у висты наверное тоже.
В этом я уже убедилась, правда, пока, заочно :)
> [41] Rouse_ © (06.10.08 12:30)
> Да кстати... Приведенная мной структура актуальна для W2k
В смысле "актуальна и для W2k" или "актуальна только для W2k" ?
P.S.
Понимаю, что второе, но чем черт не шутит :)
P.P.S.
Саш, а почему в твоем "кусочке драйвера" нет вызова ObDereferenceObject ?
> [42] slow!alfamoon!com (06.10.08 18:39)
> Ой. WinDBG надо, разумеется. В ДДК может не оказаться кое чего. + WRK заимей
К сожалению, мне не так просто "заиметь". Интернета у меня такая, однако :(
← →
Игорь Шевченко © (2008-10-06 19:46) [44]
> К сожалению, мне не так просто "заиметь". Интернета у меня
> такая, однако :(
ну один раз можно и 300 метров выкачать. Оно все равно полезней, чем на форум трафик тратить :)
← →
Rouse_ © (2008-10-07 10:31) [45]
> актуальна только для W2k
Начиная с...
> а почему в твоем "кусочке драйвера" нет вызова ObDereferenceObject?
Он вызывается в GetUserSIDFromProcess
← →
slow!alfamoon!com (2008-10-07 11:39) [46]wrk не сильно большой (метров 30). Но полезный
← →
Riply © (2008-10-26 14:57) [47]> [1] Rouse_ © (26.09.08 11:41)
> Но есть у меня тут кусочек драйвера, который тоже нормально работает:
Неа, это не "кусочек драйвера", а сплошные загадки :)
Давай начнем с азов:
Как я понимаю, структура pEProcess->Peb->ProcessParameters содержит
указатели, валидные только в рамках "подопытного" процесса. Это так ?
Если да, то каким образом, мы так спокойно гуляем по этим указателям, чего-то там читаем
(например, pEProcess->Peb->ProcessParameters->ImagePathName.Buffer) и при этом не получаем BSOD ?
Страницы: 1 2 вся ветка
Текущий архив: 2009.12.06;
Скачать: CL | DM;
Память: 0.55 MB
Время: 0.01 c
