Здарова все! 1) Заметил, что при включенном касперском при заражени некоторых екзешек - они перестают работать, все время вылетает этот ср*ный отчет об отправке. А при выключении - эти же файлы отлично заражаются и запускаются. Вот, собсно, хотел спросить, в чем может быть косяк? 2) И еще, что не создавать новый топ: когда заражаю блокнот, он после не запускается. Смотрю под отладчиком - заражение прошло супер. Проблема оказалась в антиотладочных фичах- конкретно в seh. Если убрать этот механизм, то все отлично работает. Почему такое происходит? (такое также наблюдал вроде в cmd.exe, с остальными же прогами - все супер).
каспер ставит свои хуки на разные функции и в случае подозрения на вирус, имхо, выдает ошибку. У мну такое было, когда я хотел за пределами образа файла подгрузить библиотеку ошибка в 16-й строке
каспер не только при заражении так ревгирует... он реагирует так даже на незараженный qeditor.exe от masm и не только...
- не понял, объясни что ты имел ввиду. В студиюЖ Код (Text): pushad ; Сохраняем всё в стэке call _seh_ ; Вызываем установку SEH mov esp,[esp+8] ; Подготовка к восстановлению jmp restore ; SEH и переход на восст. _seh_: xor eax,eax push dword ptr fs:[eax] ; Сохраняем оригинальный SEH mov fs:[eax],esp ; Устанавливаем свой SEH inc byte ptr cs:[eax] ; Вызываем исключение restore: pop dword ptr fs:[eax] ; Восстанавливаем старый SEH add esp,4 ; Выравниваем стэк popad - есть какой-нить негиморный метод обойти эту фигню?
модераторы, ну и что вы за дурацкий ник мне прилипили? - да. Один фиг, даже если прописать там нули, всеравно такая же ерунда получается. Заражаю XP-шный блокнот. Может кто-нить еще что подскажет?
Ребята, где вы? Я понимаю, там наверно вы п*пец как заняты, но отвлекитесь хотя б на пару минут, чтобы помочь?
Clerk, в общем для Блокнота, Cmd и некоторых других прог в ...\system32 код после _restore_ никогда не получает управления. Не могу понять, в чем дело.
