Zine.net online

Witaj na Zine.net online Zaloguj się | Rejestracja | Pomoc
w Szukaj

mgrzeg.net - Admin on Rails :)

Zagadka internalsowa 0x3

To już chyba ostatnia zagadka w tym roku, dla wytrwałych :)

Wyobraźmy sobie, że mamy zestawioną sesję debuggera z Windows 7 SP1 64-bit, na którym m.in. mamy proces o identyfikatorze 2548 (notepad.exe) i wykonujemy następujący zestaw poleceń:

0: kd> !process 0n2548 0
Searching for Process with Cid == 9f4
Cid handle table at fffff8a0012e2000 with 627 entries in use
PROCESS fffffa800328fb30
    SessionId: 1  Cid: 09f4    Peb: 7fffffdd000  ParentCid: 0674
    DirBase: 00789000  ObjectTable: fffff8a001c9c010  HandleCount:  56.
    Image: notepad.exe
0: kd> .process fffffa800328fb30
Implicit process is now fffffa80`0328fb30
WARNING: .cache forcedecodeuser is not enabled
0: kd> ?? (@$proc->Flags2 |= (1<<0xb))
unsigned long 0xd800
0: kd> g

Co właśnie osiągnęliśmy? :)

Do siego roku!

Opublikowane 30 grudnia 2011 03:23 przez mgrzeg

Powiadamianie o komentarzach

Jeżeli chciałbyś otrzymywać email gdy ta wypowiedź zostanie zaktualizowana, to zarejestruj się tutaj

Subskrybuj komentarze za pomocą RSS

Komentarze:

 

gt said:

"marks the indicated process as a protected process, preventing any non-protected process from obtaining invasive access rights from  user mode." ? ;)

grudnia 30, 2011 08:27
 

mgrzeg said:

@gt: tak, tak, tak! :) Ale skąd masz ten cytat?

grudnia 30, 2011 11:43
 

gt said:

Z codepremium... ;)

grudnia 30, 2011 12:02

Co o tym myślisz?

(wymagane) 
(opcjonalne)
(wymagane) 

  
Wprowadź kod: (wymagane)
Wyślij

Subskrypcje

W oparciu o Community Server (Personal Edition), Telligent Systems