XshStasX Debug string: LDR: LdrLoadDll, loading Opera.dll from D:\Program...
ss Это ведь асинхронно всё. Получится изменить контекст разумеется, но только для пользовательской APC, а не ядерной(стартап APC ядерная). fsd...
Эта тема требующая подробного рассмотрения. Не буду описывать подробно работу загрузчика, опишу лишь главные моменты в его использовании при...
VaZoNeZ У вас у всех вопросы идиотские, взять хотябы этот http://www.wasm.ru/forum/viewtopic.php?id=37862. Обоим предупреждение, за базаром следите ^.
Тут сказали что этот семпл палится как Win32:DNSChanger-VJ. Так вот эта сигнатура лежит в дизасме длин(VirXasm32b). Для устранения проблемы...
ss Нет. Загрузчик вызывается как APC(LdrInitializeThunk()), после чего выполняется загрузка контекста в процессор и переход на EP, либо...
Zlyden Учтите что стек ниже Esp не ваш.
wakeX Думал вам это нужно, а не сигнатурный сканер. Чем мешает боту какойнибудь инфектор.. мешают другие коды такогоже уровня близкие по функционалу.
PsSuspendProcess().
Great OB_FLAG_CREATOR_INFO -> OBJECT_HEADER_CREATOR_INFO, если GF -> FLG_MAINTAIN_OBJECT_TYPELIST до загрузки оси. Вопрос в том, поддерживает ли...
wakeX o Удаление нотификаторов в ядре. Это нотифи на загрузку образов и тп. o Удаление ObjectType' калбэков и тп. o Восстановление SST с...
Только сейчас вспомнил про семп(по сути задача изменения OEP из DllInitRoutine() таже что и ваша): http://files.virustech.org/indy/Temp/Th/ [img]...
wakeX Восстанавливаете кодосекции всех модулей с диска. Все трояны отвалятся, так в природе я есчо не видел трояна/руткита не юзающего патчи. зы:...
Zlyden Это вы не поняли. У вас не корректный подход к решению задачи. Код CG_RGBForSaberColor был примером.
http://www.wasm.ru/forum/viewtopic.php?id=32181
ss Загрузчик использует кс LdrpLoaderLock. Если она не освобождена, то какойто поток находится в загрузчике, это просто к сведению. Выполнить...
Zlyden Их не нужно восстанавливать, а следует записать в конец буфера ветвление на код, после вашего джампа. При наличии ветвлений в начале...
nkode AttachConsole()/GetThreadLocale(). Есчо может подойти GetConsoleKeyboardLayoutName(): BOOL GetConsoleKeyboardLayoutName(OUT LPSTR...
ntcdm Стековый фрейм является частью трап-фрейма и расположен в его начале, таким образом, дабы бактрейс выполнялся обычным способом, реализуется...
Llirik Нульдереференс в вашем дрове по смещению 0x293, выше в SFC клиф, удалить кису. Смотреть дизасмом что вы скомпилили.
Имена участников (разделяйте запятой).
