Changelog:
- поскольку отдельные граждане не умеют правильно редиректить stdout - добавил опцию -f для задания имени logfile
- добавил также опцию -k для убийства всяких залипших процессов
- добавлена проверка handlers, установленных с помощью RegisterApplicationRecoveryCallback
- добавлена проверка ф-ций, установленных с помощью RegisterMessagePumpHook
- пофикшен баг, выводящий надоедливое сообщение Unknown apfnDispatch size
- добавлены всякие devinterfaces, встречающиеся на ноутах
- и пара-тройка rpc interfaces от 64битной windows 7 sp1
- ну и еще кое-что исправлено
Посмотрел я тулзу. Чушь выводит полную :)
ОтветитьУдалитьhttp://imglink.ru/show-image.php?id=d4a83db4620477a9edb0135ef73876dd
Интересно... IAT srv.sys ( ntoskrnl.exe!NtSetInformationFile ) хукнуто ntoskrnl.exe!NtSetInformationFile !
Нет, конечно IAT в srv.sys модифицирована, но совсем не тем..
http://imglink.ru/show-image.php?id=aef01b7cd58f58329d2b5422e988cc98
Кроме того, IAT и у других модулей тоже модифицировано, но тулза как-то этого не видит.
К слову, модификацию EAT определила верно.
http://imglink.ru/show-image.php?id=6c3ad8cb13b9b9fb2d12a71a464708b3
IRP handlers у disk.sys оказывается хукнуты ! Чем? classpnp.sys :(
http://imglink.ru/show-image.php?id=1ab65084464f4d81abb22bdcc58e53ff
Да, и опция -k не работает ни разу. Дальше не смотрел. Унылое поделие какое-то.
Лучше бы дамп прислали, что ле..
щас все брошу и немедленно запишусь в неоплачиваемые тестеры блока ада, бгг
ОтветитьУдалитьнет, зачем, спасибо.. лучше продолжайте лошить тех несчастных пользователей, которые вашим божественным огрызком пытаются систему проверить, но вывод заредиректить в файл не могут.. они всё равно по-русски не понимают..
ОтветитьУдалитьИли детект Carberp по нотификатору это круто? Вы все дураки, а я одна тут стою красивая? Ну-ну..
я.недоволен. :(
в ваших словах такая горечь - будто это именно персонально я своим унылым поделием отнял у ваc последних полтора пользователя
ОтветитьУдалитьпод термином "лошить" кстати вы подразумеваете что именно - добавление функционала по просьбам всяких разных ?
carberp c руктитом был задетекчен под 64бита. блок ада запускается под 64 бита ?
вы отняли моё время - это намного дороже, причём сделали это совершенно бездарно.
ОтветитьУдалитьпод термином лошить я подразумеваю вашу манеру общения, или да, если хотите, добавление "функционала" по просьбам всяких разных.
блок ада, что вы имеете в виду? какой продукт? если антируткит, то нет, публичная версия не работает на х64. это собственно, не новость. в хэлпе, кстати, написано. или не читали?
ах, да. это же подъ..ка такая!
вы меня извините конечно, но ваши посты лишь выдают ваши mini balls, не более.
читайте завтра во всех белорусских газетах - у автора унылого поделия wincheck Очень Маленький Член - скандалы-интриги-расследования!!!11, бгг
ОтветитьУдалитьмимо кассы, димон просто ахтунг, пруфы найти нетрудно.
ОтветитьУдалить