Если прерывание вызвано командой CD01 или F1, то irql=PASSIVE_LEVEL, если вызвано аппаратно (срабатыванием бряка на Dr регистрах, или флагом...
Если в обработчике прерывания irql > DISPATCH_LEVEl, то во время его работы на другой проц нить переключиться не может. Если irql ниже, то можно...
В NT можно читать залоченные файлы с помощью BackUpRead, если есть BACKUP привилегии у пользователя. В 9x незнаю.
http://www.wasm.ru/article.php?article=hidingnt
Для скрытия чего-либо лучше использовать перехваты на уровне NativeAPI. Для скрытия файлов тебе надо перехватывать не FindFirstFile/FindNextFile...
Dr.Golova Ни WmVare ни VirtualPC не эмулируют команды исполняющиеся в ring3, только привилегированые команды. И при разработке этих...
Еще довольно надежный способ детекта эмуляторов - замер времени обработки ексцепшена. Для эмулятора он будет на 2 порядка больше, чем для...
Dr.Golova Те ресурсы которые должны быть видны, копируются в выходной файл в неизменном виде, тоесть все иконки и стили сохраняются. А те...
function IsVMwarePresent(): LongBool; stdcall; begin Result := False; try asm mov eax, 564D5868h...
Для защиты ресурсов я использовал несколько необычный метод. Секцию ресурсов в защищенном файле убирал полностью, а сами ресурсы хранил в своем...
Скорее всего да, но ими я не занимался.
NoName Испортить проц можно, и код это делающий будет зависеть не от процессора, а от чипсета материнской платы. Чипсет через свои регистры...
electron Незнаю, к сожалению нет под рукой Win2003 чтобы проверить. Возможно мешают установленные антивирусы.
electron На асме это есть в коде phide от 90210.
Обычно в правилах по умолчанию большинства фаерволлов разрешен процесс svchost.exe, так что к нему стоит цеплятся при загрузке троя на комп. Также...
LuckyDevil Тут поможет только проверка под отладчиком. Ставь софтайс наконец и медитируй...
#define RtlCopyMemory(Destination,Source,Length) memcpy((Destination),(Source),(Length)) Если не нашел в либах, то поищи в хедерах ддк.
bogrus В атаче лежит пример екзешника не содержащего никакого импорта, который просто выполняет комманду jmp $. Запускаем его, открываем...
Встречался я с такой фигней, если просто менять ImageName, то это не всегда работает, так как есть еще...
wish3 Машинный код получить не сложно, для этого можно хотя-бы OllyDbg заюзать, или хиев. А динамический вызов длл описан в многих источниках...
Имена участников (разделяйте запятой).
