/usr/bin/ld: /tmp/ccotqVjU.o: неопределённая ссылка на символ «dlopen@@GLIBC_2.1»
//lib/i386-linux-gnu/libdl.so.2: error adding symbols: DSO missing from command line
collect2: error: ld returned 1 exit status

{$IFDEF LINUX}

................................................................................

{ The Win32 program loader sets up the first 64k of process address space
  with no read or write access, to help detect use of invalid pointers
  (whose integer value is 0..64k).  Linux doesn't do this.

  Parts of the Delphi RTL and IDE design environment
  rely on the notion that pointer values in the [0..64k] range are
  invalid pointers.  To accomodate this in Linux, we reserve the range
  at startup.  If the range is already allocated, we keep going anyway. }

var
  ZeroPageReserved: Boolean = False;

procedure ReserveZeroPage;
const
  PROT_NONE = 0;
  MAP_PRIVATE   = $02;
  MAP_FIXED     = $10;
  MAP_ANONYMOUS = $20;
var
  P: Pointer;
begin
  if IsLibrary then Exit;  // page reserve is app's job, not .so's

  if not ZeroPageReserved then
  begin
    P := mmap(nil, High(Word), PROT_NONE,
      MAP_ANONYMOUS or MAP_PRIVATE or MAP_FIXED, 0, 0);
    ZeroPageReserved := P = nil;
    if (Integer(P) <> -1) and (P <> nil) then  // we didn't get it
      munmap(P, High(Word));
  end;
end;

procedure ReleaseZeroPage;
begin
  if ZeroPageReserved then
  begin
    munmap(nil, High(Word) - 4096);
    ZeroPageReserved := False;
  end;
end;
{$ENDIF}

Драйвер — Windows XP SP3 (x86), Windows 2003 SP3 (x86) и Windows 7 SP1 (x86), но может поддерживать Windows 8/8.1 (x86) тоже. Поддержка Windows 8/8.1 сейчас ещё не протестирована.
Эксплойт был протестирован на Windows 7 SP1 (x86).

nullptrdrfrnc.PNG [ 19.46 KiB | Viewed 6031 times ]

win10mitigations.PNG [ 49.61 KiB | Viewed 6031 times ]

[General]
; Jmp default base address
BaseAddress=0

; Theme KolibriOS Enable or Windows Disable
Theme=Enable

; Console Show/Hide
Console=Show

; Wait exit Enable/Disable
WaitExit=Disable

Var X, Y: LongWord;

Begin
  Case X Of
    1:      Y := 0;
    20:     Y := 1;
    3:      Y := 2;
    42:     Y := 3;
    5:      Y := 4;
    60:     Y := 5;
    7:      Y := 6;
    80:     Y := 7;
    9000:   Y := 8;
    100500: Y := 9;
  End;
End.

  00407CE0: A1 98 97 40 00       mov         eax,[00409798]
  00407CE5: 83 F8 2A             cmp         eax,2Ah
  00407CE8: 7F 6A                jg          00407D54                    ; здесь прыжок на обработку без таблицы переходов
  00407CEA: 0F 84 9F 00 00 00    je          00407D8F                    ; здесь прыжок на обработку без таблицы переходов
  00407CF0: 83 F8 14             cmp         eax,14h
  00407CF3: 0F 87 E8 00 00 00    ja          00407DE1                    ; значение не попало в наш диапазон -> выход
  00407CF9: FF 24 85 00 7D 40 00 jmp         dword ptr [eax*4+00407D00h] ; прыжок на адрес из таблицы переходов
  
  00407D00: 
           таблица переходов
  
  00407DE1: 
           выход

Var X: Dword;

ThreadVar X: Dword;

Для Windows-функций, вероятно, требуется больший размер стека.
В некоторых KolibriOS-программах стек не выравнен(это плохо, но это есть) — с этим тоже может быть проблема.
Можно захотеть передать параметры в запускаемый поток, положив ему что-то на стек: выделили память под стек, положили туда значения, затем указали выделенную область в ThreadCreate. Тут можно попытаться копировать некоторое количество байт из KolibriOS в Windows стек.
А ещё можно запустить поток без стека, а он уже сам его себе выделит: выделить память под стек, mov esp, ...

+; 5. Allocate space in the address space.
+; Prefer PEDESCR.defaultbase, but allow address anywhere else
+; if allocation at PEDESCR.defaultbase is not possible.
+        mov     edi, [esi+PEDESCR.size]
+        shl     edi, 12
+        stdcall user_alloc_at_nolock, [esi+PEDESCR.defaultbase], edi
+        test    eax, eax
+        jnz     @f
+        stdcall user_alloc_nolock, edi
+        test    eax, eax
+        jz      .user_alloc_failed
+@@:
+        mov     [img_base], eax