Androand Че-та я не пойму - ранние логи были для команды 80h с субкодом? Номером алгоритма/ключа - всегда ноль: 5A 0B 80 00 00 00 00 00 00 00...
Чтобы писать и читать за пределами файла (но в пределах кластера) ReadFile/WriteFile ИМХО вряд ли достаточно - нужен низкоуровневый доступ. Судя...
test555 Например на этом сайте есть утиль MsRem'а по обнаружению скрытых процессов. Может ли его утиль получить это в такой ситуации? Если да, то...
Тогда в логе скорее всего было бы DeviceIoControl/etc, не читает же он их через ReadFile.
Ну так она скорее всего при каждом запуске уменьшает число допустимых запусков и записывет это в шифрованном виде назад. При этом скорее всего...
Нет, вроде немного выше. Походу на то что он на каждом запуске перещитывает там чего-то в зависимости от даты и времени и обновляет файло. В...
neutronion Так в *bad* он не может найтить файло: GetFileAttributesA( ... SAI\NotRemoveMe.s...") returns: FFFFFFFF А в *Good* он его находит...
+++ Возможно также лог на инсталляцию. Ну типа он делает SomeParams(файлег) ?= function(SomeParams(ОсновнойМодуль))
++ Может перетереть-то его нельзя но читать наверное можна. Если искать специальные маркеры (точнее - их отсутствие) после "зачистки"....
vg Цель? Удалить критичную инфу? наверное принудительно открыть (FileMapping?) заведомо здоровенный файлег и косвенно перетереть кэш?
++ Сначало лог с заведомо работающей прогой а уже потом - когда файл сделан ручонками и работать перестало. Разница. Может детектить разницу по...
Полный путь и название до критичного файла и все связанные с этим АПИ-вызовы? (CreateFile/FindFirst/etc) - ?
Ф смысле? Ну проще же понять логику видя последовательность вызовов АПИ нежели ковыряццо в дизасме / или же если прога накрыта протом то так можно...
neutronion Лог API, особливо на FindFirst/FindNext? Что она делает с ним?
punxer Я не силен в терминах - че у нас там такое "сплайсенг"? Трассировка/эмуляция перехватываемой функии до некоторого момента с целью внесения...
Да какая разница на чем они написаны? Хоть на VB, это просто текстовые файлики в которых в-каком-то-там-виде есть нужная инфа. Если вам ближе...
punxer 0. Протрассируйте (своим обработчегом в SEH) первые 5 команд пролога процедуры начало которой вы хотите заменить на jmp. Таким образом вы...
Llirik При чем тут язык C? У вас другие АПИ - например IoGetDeviceObjectPointer - где описаны? А AddDevice? Вам нужен примерчег - так ищите его в...
Почему таможенники делают это? Анекдот на тему: "Почему собаки лижут у себя? - Потому, что они это могут." Если серьезно, то наверное сложно...
Если Дельфионафты всего лишь оффцы заблудшие то си это вообще аццкий сотона:: они даже вещают что с их компилера код выходит лучше (!) чем руками...
Имена участников (разделяйте запятой).
