n0name %ls тоже самое, что и %ws.
можно тут скачать (там ссылочек достаточно)
1) RtlUnicodeStringToAnsiString() 2) DbgPrint( " String is '%ls' ", UnicodeString->Buffer );
регистры используются обычно для временного хранения промежуточных значений, так что смысла в сохранении их я не вижу) алгоритм: загрузили...
лол)))))))) она не такая страшная как кажется) там все можно интуитивно понять
Хек, при чем тут VirtualProtectEx. Это только в дополнение к ReadProcessMemory да и то, скорее всего, хотя бы доступ на чтение на страницу есть.
reverser хек, сенкс) не знал.
Может имелся в виду VolumeParameterBlock (VPB) Oo?
Scratch Можно еще попробовать ринг4, чтобы в него перейти, нужно выполнить команды HLT / JMP $
в реестре можно поставить флаг, чтобы при ребуте он очищался. и инициировать ребут, если тебе на него пофиг
ну-ну ;)
Я думаю, что будет трудно найти какие-либо остатки в свопе, так что имхо можно забить на это.. А вот целиком своп затирать не стоит, бсод будет =)
Arthur Вообще-то окошко ассемьлирования в ольке не закрывается при вводе последовательности команд. По секрету скажу. Надо явно Escape нажать...
А как тогда загрузить MessageBox из user32.dll если в импорте ее не прописать то?) Вызов LoadLibrary только увеличит размер. Это только kernel...
xor eax,eax mov edi, DESTINATION_ADDRESS mov ecx, 0x1000 shr ecx, 2 rep stosd
Nouzui да )
Это данные для менеджера логической предвыборки. Грубо говоря, винда смотрит, какие файлы процесс открывает в течение первых N секунд работы и при...
Cr4sh В физической памяти они-то очистятся, но кто гарантирует, что очищенные страницы успеют сброситься в своп и перекрыть старые?
по дефолту ничего не останется. можно подчистить компрометирующие данные на страницах перед завершением процесса. зы. Еще останется файлик в...
Nouzui если убить lsass, нельзя будет завершить работу.. а про smss не в курсе перезагрузиться попробовать не успел, т.к. по приколу убил CSRSS и...
Имена участников (разделяйте запятой).
