hakeem [img]
hakeem В 2008 году появилась эта ошибка :D
http://www.virustotal.com/ru/analisis/64a519bd45a9edc7f0ef1917b3101827
z0mailbox Подари мне тож если найдёшь =)
JCronuz Ещё процессоров таких нету
Мне вот это вот понравилось http://wasm.ru/forum/extern.php?action=online_full . всегда было интересно кто щас активен =)
Наверника в реестре устанавливается никий флаг удаления сервиса. Вот может это и надо перехватывать?
Возвращает TRUE. Я уже думаю может стянуть с висты какуюнить дллку WebCheck.dll например. и посмотреть как у неё dllmain устроен.
Andrew_Kuz Поставь софтайс, пропиши "bpx DeleteService" и посмотри как это всё работает ;)
А как сделать владельцем группу администраторы? invoke RegOpenKey,HKEY_LOCAL_MACHINE,addr aKey,addr hKey re: invoke RegGetKeySecurity,hKey,...
Y_Mur это смотря на каком этапе дров грузится.
vg ну так надо было выкладывать проблемный сорс.
Если байты поксорены сами на себя они разве ну будут 0? Первый байт может менятся от версий виндоус. Как вычислять длину апишки? Это извечная...
Velheart Без перехвата NtClose можно спокойно удалить Ulocker-ом. Y_Mur Унлокер обламывается когда не может закрыть хендл. Так что перехват...
Из Севастополя ктонибудь есть?
del
Лучше бы сделали MASM64 =(
любой Адblн может стать владельцем и поменять права
Напиши дров, в нём открой этот файл (NtCreateFile) перехвати NtClose и запрети закрытие хендла возвращённого NtCreateFile.
А где можно сорцы 2000 достать?
Имена участников (разделяйте запятой).