Ну судя по тому что написанно в pdf stoned они патчат bootmgr winload и т.п. для того чтобы последовательно обойти все проверки, но PE который зашит в bootmgr везде запакован. Как пропатчить запакованный файл на лету ?
Babyshamble спасибо, я это читал но с англ. плохо( не смог это понять. я так понимаю все системные длл тоже проверяются ?..
Запакован только bootmgr, однако, буткиту нет необходимости его патчить, т.к. на новых системах этот bootmgr представляет собой, по сути, заглушку для систем без поддержки EFI, которая нужна для только для запуска winload.exe Именно winload.exe осуществляет основную работу по загрузке ядра и boot-драйверов, и именно его нужно патчить для отключения code integrity checks и прочих вещей. Технически - это совершенно тривиальная задача, поскольку сам winload никак не защищён и не запакован.
_http://fyyre.ivory-tower.de/ - вот здесь есть какой-то буткит на фасме Насколько он актуален - мне сложно судить, ибо не разбираюсь в таких технологиях.
Bootmgr проверяет интегрити winload.exe, так что его нужно патчить. А про статьи забудьте, это все фигня, рабочий способ вам никто не даст, тем более тот который можно использывать, а не такой что руками распакуйте, пропачте и запакуйте, у вас на все про все 8 секторов патчинга на лету.
TDL4 думаю интересно поразбирать будет. http://www.securelist.com/ru/analysis/208050674/TDSS_TDL_4 Находил исходники TDL3 но какие то не полные, может плохо искал конечно
