Как хотите. Я ничего нового не сделал, такое правило уже было
Один ответ на два вопроса. Васм превращается в веб-хак постепенно с разборками, флеймом и прочими делами, что не радует. К тому же правило и...
http://en.wikipedia.org/wiki/Malware
Нельзя посты о покупке/продаже _малварей_. Любые легальные предложения о сотрудничестве - велкам.
Топиков про малвари на васме не будет в этом разделе, я гарантирую это. Нарушители - в бан навечно без предупреждений, топики - в трэш.
Насколько мне известно, нет
завязывайте курить, ребят
Опкоды одинаковые на всех процессорах, поддерживающих IA-32.
EngCopyBits не каллбек, а функция win32k.sys. Она документирована в MSDN вместе со структурами SURFOBJ, XLATOBJ и пр. Она используется в драйверах...
Нужен дизассемблер длин. Целое число инструкций, длина которых >=5, копируется во временный буфер, при необходимости фиксапится (если там попались...
Кусок NtGdiBitBlt: if ( *((_BYTE *)hDCDest + 73) & 4 ) copyBits = *(int (__stdcall **)(_SURFOBJ *, _SURFOBJ *, int,...
Чисто случайно только что запостил в своем блоге http://the-gr8.cih.ms/2010/01/blog-post_555.html В догонку к посту в блоге: может быть ты имел в...
Во-первых, собирай Release, а не Debug сборку. Чтобы совсем убрать пролог/эпилог,используй __declspec(naked). (в этом случае возникнет проблема с...
Sol_Ksacap Ну стек, очевидно, неверен. Пропущено несколько записей. Скорее всего каллбек ушел в драйвер какой-то, а драйвер уже вызвал...
Syser все еще очень сырой и работает далеко не на всем оборудовании. У меня на обоих компах он стабильно бсодит, все версии.
Нет же, символы нужны к системным драйверам типа Ntfs.sys и другим. Много записей в стеке вызовов пропущено скорее всего, которые относятся к...
Ну без хексрейс) Чето я невнимателен сегодня
deshiko Сгенери kernel memory dump и дай вывод !thread + новый !analyze -v с символами ntdll, интересно на юзермодный стек вызовов посмотреть. +...
x64 Да, вероятно.. Но в любом случае там минидамп, хотелось бы созерцать kernel memory dump, ибо: 1: kd> !thread GetPointerFromAddress: unable to...
Зависит от того, как эти константы в длл используются. В любом случае, анализировать код ф-ий, которые отвечают за обработку. ida pro + hexrays
Имена участников (разделяйте запятой).
