l_inc Доступ к портам не только мод(CPL) определяет, но есчо и IOPL(IOPM не рассматриваем). Порт доступен, если CPL <= IOPL, да и не только порт,...
float Заменить файловую проекцию на не файловую с атрибутом RE. Секции данных в проекции RW. Открыть доступ на запись в проекцию в таком случае не...
Значит первой инструкции нет - нтдлл анмаплена. Предположу что тред вылетает изза исчерпания стека, так как будут рекурсивные вызовы диспетчера...
float Нет. На месте остались переменные, тоесть секции данных(там на скрине это видно). Это даёт возможность сделать непосредственно джамп в...
float Это делается элементарно - создаётся секция(Odj), проецируется, в неё копируется по секциям все секции данных модуля, затем области кода...
featurelles Автор этого кода сам тупорылый, я уже комент выше приводил. Следует понимать что это не руткит. Это значит что никаких технологий...
Остальное можно не читать, имхо хлам какойто древний.
Если нет Case-ветвлений, то пересобрать процедуру очень просто. Иначе автоматический RCE проблемный, в основном изза избыточности массивов.
У меня на десктопе есть несколько таблиц, которые я вырезал из манов, например: [img]
oleg_nefedov Это само собой рузумеется. Ничего не мешает добавить релоки, разумеется если модуль ваш или написан для вас, а не криптор, пакер...
karabas_barabas Поправочка - с патчем кода проблем наверно нет. И со снятием его тоже нет никаких проблем. И с обнаружением. А значит не приемлимо :)
izl3sa SYSTEM_HANDLE_INFORMATION.Object не ? ; + ; Опредедяет адрес описателя обьекта(KPROCESS, KTIMER etc). ; QueryObject proc uses ebx...
..
Зачем анмапить, достаточно релоцируемый модуль сделать.
Определённо тот, который ваш фаерволл не будет отслеживать. Я бы создавал копии нормальных потоков и получал управление в начале их...
Из USD прочитать(0x7FFE026C). Там значения могут только добавляться в новой версии в этом блоке, а блок в разделяемой всеми процессами памяти,...
neutronion Легко. Отменить налоги. Вы например свой завод тут по выпуску чипов не построите - вас налогами задавят.
intel_x128 Заблуждаетесь. Не знаю как в вашей рфе, скажу что мы в рб имеем. Доллара у нас уже нет - экономика в коллапсе. Если вы хотите...
sergegers Вы наверно шутите ? Какая оптимизация может быть, если вы в юзермоде, да есчо и винапи юзаете :D
Нужно смотреть псевдокод в манах, вот для CMOVcc(x64 я опустил): temp <- SRC IF condition TRUE THEN DEST <- temp; FI; Тоесть вначале во...
Имена участников (разделяйте запятой).
