Changelog:
- пофиксал неверное определение IAT hooks в kernel mode, о чем нам тактично сообщил Dmitry Varshavsky
- добавлена опция -uem для поиска в процессах всяких странных регионов памяти, имеющих флаг executable. В них попадают все области памяти, не принадлежащие загруженным модулям, PEB.GdiSharedHandleTable & SHAREDINFO.aheList. Для каждого региона выдается примерно такое:
00530000 Mapped 80000 2 ER--
00530000 Mapped 6000 ER-- ---
00536000 Reserve 7A000 ER-- ---
Тут все понятно по моему - адрес, размер, атрибуты, детализация
- несколько изменен формат вывода для driver hooks
Комментариев нет:
Отправить комментарий