Основной алгоритм добавления новой секции Решение проблемы доступного пространства при помощи добавления новой секции имеет некоторые недостатки. Практически все антивирусы опознают нестандартные секции, и если, к тому же, там есть полный набор флагов на чтение/запись/выполнение, то эта ситуация выглядит еще более подозрительно. Но такой способ дает огромное преимущество в объеме внедренного кода. В начале проведения внедрения необходимо получить общие сведения о файле: определение языка...

Хороший программист не брезгует ассемблером. А тот, кто умеет использовать прием "перекрытие кода", тот уже близок к профессионалу. Осталось к уже изученному освоить приемы скрытия вызова функций, самомодификации кода, исполнения кода в стеке, шифрование кода или его части и еще чуть чуть – и вы профессионал или программист-фокусник! Суть метода перекрытия кода состоит в том, что часть одной машинной команды может быть другой командой. Например, команда mov может загрузить в регистр число,...

Исследование TLS, загрузчика и CRT-инициализации в conhost.exe Введение Целью данного исследования было изучение того, как Thread Local Storage (TLS) используется в процессе conhost.exe, а также как TLS взаимодействует с: механизмами загрузчика Windows, стартовой последовательностью процесса, инициализацией MSVC CRT, и механизмом потокобезопасной инициализации локальных статических объектов. Анализ проводился на живом процессе conhost.exe с использованием WinDbg. Основной задачей было...

Службы (Services)- это процессы пользовательского режима, для запуска и функционирования которых, регистрация интерактивного пользователя в системе не требуется. И поэтому, подавляющее большинство служб не имеют пользовательского интерфейса. Это единственная категория пользовательских приложений, которые могут работать в таком режиме.

Вот мы и добрались до исходного текста простейших драйверов. Полнофункциональные нас ждут впереди.

Код драйвера, по сути, является набором функций, позволяющих решать задачи недоступные коду режима пользователя. Для вызова функций драйвера система предоставляет посредника в лице диспетчера ввода-вывода.

Пришло, наконец, время взглянуть на то, к чему мы так долго стремились. Практически вся основная теория уже позади. Поэтому, сразу приступаем к разбору исходного текста драйвера, программу управления которым мы писали в прошлой статье.

This article describes in details file format of Windows' crash dumps.