l_inc Именно второй пермутирующий. Первый пикод, второй микод. Инструкция Call Load является одним целым с калбэком. Это очень важно, иначе после...
l_inc Вот если не понимаете разницы, как можите судить про то, как я называю инструкцию Call. Когда осознаете буду рад обсудить.
l_inc Вот код, который загружает ссылку на процедуру: Callback proc ... Callback endp ; ~~~~~~~~~~~~ ... Call Dt Dt: pop eax add eax,(offset...
l_inc Когда вы будите долго размышлять над чемто, у вас появится необходимость обобщения. Для этого термины и нужны. Вы ведь меня без труда...
gorodon Да. Ведь нельзя спутать к примеру #AV с #DB. Даже если хватать функи средствами IDP_Engine(помните там по ссыли), то всёравно известен...
l_inc Ну мб написал не так про смещение. Подразумевалась базовый адрес загрузки кода. По той сути, что при трассировке графа никакие флажки не...
l_inc База загрузки кода определяется смещением в сегменте. Тоесть 0:Offset. Это и сказано выше. С точки зрения графа инструкция Call такаяже как...
Rockphorr В NT сегмент кода один, имеет нулевую базу. Посему поправка не нужна.
(Прим.: инвалидный описатель это не -1, а Magic, например 0xABCDEF.)
Cr4sh Хорошо, на описанном примере решения: o Регаю VEH. o Делаю инвалидной сигну HEAP.Signature. o Жду пока диспетчер получит управление. o В...
Cr4sh Чтоб не лезть в дебри, покажу на рабочем примере http://wasm.ru/forum/viewtopic.php?id=36993 Эмулируется создание файловой секции. Каким...
Cr4sh Думал я понятно описал. Это и есть перехват, для некоторых трассировка не является способом захвата кода.. :) Укорочиваю смысл до предельно...
Sol_Ksacap Да, PAGE_SIZE - 1.
Cr4sh Код менять можно как угодно. Вот только обнаружить и снять это не составляет труда. Подумал если автор не желает юзать ядро и изменять...
Прикинул вобщем так. 1. Захват апи. Так как их много, все они в kernel32, по сему нормальный способ следующий. Для работы с обьектом нужен его...
kaspersky Не за всю, а за код. Есть например экзешник криптованный, отморфленный или пр. Как вы опознаете в нём виря ? Думаю сейчас вы скажите что...
Трассировка до входа в сервис с последующей эмуляцией. Где начать трейс это оснавная задача видимо.
kaspersky http://wasm.ru/forum/viewtopic.php?id=37048 :) Хороший антивирь такой..
retmas Не предлагаю, просто пример обьявления в сурсах ядра: ; Module Name: ; ; sysstubs.asm ; ; Abstract: ; ; This module implements the...
UbIvItS Так как взвесь мелкодисперсная углерода, изза этого пространство в это время обладает высокой проводимостью(не 10кВ/см, а на порядки...
Имена участников (разделяйте запятой).
