Ставлю сабжевый бряк.

bpx NtReadFile

Айс начинает всплывать каждую секунду !

Как сделать так чтобы он всплывал только при вызове NtReadFile из моей проги ???

| Сообщение посчитали полезным:

den_fed пишет:
Как сделать так чтобы он всплывал только при вызове NtReadFile из моей проги ???
Учи матчасть. А ответ - никак. Твоя прога скорее всего вызывает ReadFile
и уже после вызывается NtReadFile уже в системных DLL.
Если прога действительно вызывает NtReadFile, то ищи где именно и там ставь бряк.

| Сообщение посчитали полезным:

Нет моя прога вызывает именно NtReadFile.

>то ищи где именно и там ставь бряк.
невозможно т.к. она вызывает его из своего расшифрованного тела.

И вызывает похоже прямым jmp в ядро ...

| Сообщение посчитали полезным:

addr: "proga"

чото там такое...

-----
invoke OpenFire

| Сообщение посчитали полезным:

den_fed пишет:
И вызывает похоже прямым jmp в ядро ...
В ядро идет обращение из ntdll.dll, где эта функция лежит.
Но до этого наверняка вызывается NtOpenFile - их гораздо меньше
в системе - поймаешь свой. Ну а NtReadFile будет вскорости.
ADDR тоже должен помочь. Но мне приходилось сначала таблицу прог выдавать
и брать оттуда какое-то число для команды ADDR. На имя она ругалась, но это был старый ICE.

| Сообщение посчитали полезным:

tundra37 пишет:
какое-то число для команды ADDR
PID процесса мб?)

-----
invoke OpenFire

| Сообщение посчитали полезным:

Есть функи прямо в ядре, вызываюццо они через SysEnter/int 2E, вот сильно мне сомнительно, что прога берёт и фигачит посреди кода Sysenter сходу. Скорее всего, вызывает она функи из кернела или нтдлл, делай addr <pid> и ставь бряк туда.

| Сообщение посчитали полезным: