Changelog:
- add -sched option to dump threads from scheduler structures. Warning: since XP scheduler contains in wait list not all waiting threads
- improved support of old wk2 (sp1/sp2/sp3)
dt _DISPATCHER_HEADER 0x80564820
ntdll!_DISPATCHER_HEADER
+0x000 Type : 0x4 ''
+0x001 Absolute : 0 ''
+0x002 Size : 0xa ''
+0x003 Inserted : 0 ''
+0x004 SignalState : 0
+0x008 WaitListHead : _LIST_ENTRY [ 0x8a8b1d08 - 0x8a8b15a0 ]
mov rbx, gs:20h
xor esi, esi
lea r13d, [rax-1]
lock bts qword ptr [rdi+40h], 0
jb loc_140034F29
mov r8b, r14b
mov rdx, rdi
mov rcx, rbx
call KiAlertThread
mov qword ptr [rdi+40h], 0
cmp qword ptr [rbx+2C88h], 0 ;
KPRCB.DeferredReadyListHead
mov r15b, al
jnz short loc_140034E7B
sub rsp, 20h
mov eax, gs:5218h ; KPRCB.ReadySummary
test eax, eax
jnz short loc_14004A9EE
IRP_MJ_FAST_IO_CHECK_IF_POSSIBLE: FFFFFA800E0D4320
PreOperation: FFFFF880026D8414 \SystemRoot\system32\drivers\luafv.sys
PostOperation: 0000000000000000
IRP_MJ_RESERVED-12: FFFFFA800E0D4350
PreOperation: FFFFF880026D82D8 \SystemRoot\system32\drivers\luafv.sys
PostOperation: 0000000000000000
IRP_MJ_RESERVED-11: FFFFFA800E0D4380
PreOperation: FFFFF880026D82D8 \SystemRoot\system32\drivers\luafv.sys
PostOperation: 0000000000000000
IRP_MJ_RESERVED-10: FFFFFA800E0D43B0
PreOperation: FFFFF880026D82D8 \SystemRoot\system32\drivers\luafv.sys
PostOperation: 0000000000000000
IRP_MJ_RESERVED-9: FFFFFA800E0D43E0
PreOperation: FFFFF880026D82D8 \SystemRoot\system32\drivers\luafv.sys
PostOperation: 0000000000000000
IRP_MJ_RESERVED-8: FFFFFA800E0D4410
PreOperation: FFFFF880026D82D8 \SystemRoot\system32\drivers\luafv.sys
PostOperation: 0000000000000000
IRP_MJ_RESERVED-7: FFFFFA800E0D4440
PreOperation: FFFFF880026D82D8 \SystemRoot\system32\drivers\luafv.sys
PostOperation: 0000000000000000
IRP_MJ_RELEASE_FOR_CC_FLUSH: FFFFFA800E0D4470
PreOperation: FFFFF880026D82D8 \SystemRoot\system32\drivers\luafv.sys
PostOperation: 0000000000000000
lea r14, cs:0FFFFF97FFF000000h
lea rdx, [rsp+498h+SourceString]
41 B8 04 01 00 00 mov r8d, 104h
41 0F B7 8C 76 40 movzx ecx, word ptr [r14+rsi*2+2DA440h] ; 0FFFFF97FFF2DA440h
call UserGetAtomName
41 B8 04 01 00 00 41 0F B7 YY ZZ XX XX XX XX
"C:\Program Files\Debugging Tools for Windows (x86)\symchk.exe" %1 /s SRV*%tmp%\ida\*http://msdl.microsoft.com/download/symbols /v 2>log
DbgSizeOfImage 0x0001d000
DbgChecksum 0x0001df9b
PdbFilename C:\DOCUME~1\USER\LOCALS~1\Temp\ida\6to4svc.pdb\FD2DAD64D03E4365A5116D01DCB424031\6to4svc.pdb
PdbSignature {FD2DAD64-D03E-4365-A511-6D01DCB42403}
KiDebugRoutine 1689BC
KdDebuggerDataBlock 128C08
M DbgkLkmd_cblist 12DB20
PspLegoNotifyRoutine 369EE0
EPROCESS.ObjectTable F4
sub is_hal
{
my $fname = lc(shift);
return ($fname eq 'hal.dll') ||
($fname eq 'halapic.dll') ||
($fname eq 'halmps.dll') ||
($fname eq 'halacpi.dll') ||
($fname eq 'halaacpi.dll') ||
($fname eq 'halmacpi.dll')
;
}
mov eax, large fs:2354h
and eax, 10001h
retn
mov eax, [edx+2170h]
mov edx, [esp+24h+arg_0]
mov [esi+2128h], edx
call eax
Например есть у нас детектор типо wincheck. Вроде кошерная поделка, анализирует стопяцот внутренних структур, как юзермодных, так и нейтивных. Но это аверское дерьмо выпиливается через маршрутизацию. Что толку от мониторинга LdrpDllNotificationList, если я юзаю ShowSnaps и S/W переключение на кодэто успех (c) ящетаю. Особенно угарно что wincheck на всю катушку использует анализ графа codeflow - не GPE™ понятно, а более пригодную для использования самописную либу, но идея таки да, ровно та же самая, бгг
LdrpDllNotificationList: 1
6CE16512 C:\Program Files\Internet Explorer\IEShims.dll
lea rax, cs:0FFFFF97FFF000000h
mov edx, r11d
call qword ptr [rax+r10*8+2C59A0h] ; 0FFFFF97FFF2C59A0h
lea rax, qword [ImageBase wrt rip]
Error E2326 c:\ida560\sdk\include\pro.h 445: Use __declspec(spec1[, spec2]) to combine multiple __declspec's
Error E2141 c:\ida560\sdk\include\pro.h 445: Declaration syntax error
Error E2268 c:\ida560\sdk\include\pro.h 450: Call to undefined function 'vinterr' in function cdecl interr(const char *,int,cont char *,...)
Error E2326 c:\ida560\sdk\include\pro.h 749: Use __declspec(spec1[, spec2]) to combine multiple __declspec's
Error E2141 c:\ida560\sdk\include\pro.h 749: Declaration syntax error
To create 32bit or 64bit Win32 modules: Borland C++ Builder >= 5.0вот у меня как раз он и есть - free BCC v5.5. И не собирается нифига
or free BCC v5.5
c:\ida560\sdk\include\pro.h(1830) : warning C4003: not enough actual parameters for macro 'DEFINE_LIST_ITERATOR'
c:\ida560\sdk\include\pro.h(1830) : error C2143: syntax error : missing ')' before ';'
c:\ida560\sdk\include\pro.h(1966) : see reference to class template instantiation 'qlist' being compiled
Перехват ключевых функций в структуре NDIS_MINIPORT_BLOCK может гарантировать твоей зверюшке уверенный контроль или модификацию сетевого трафика, если бы не одно "но" — заполучить указатель на NDIS_MINIPORT_BLOCK ой как непростоДико непросто, угу. Александр Эккерт опять показывает свою выдающуюся компетентность - даже имя списка ndisMiniportList не привел, но с серьезной рожей маститого
Thread 867C5020 Start 80683528 N stack F79FC000 limit F79F9000 \WINDOWS\system32\ntkrnlpa.exe
Thread 867C5BD8 Start 80533CD0 Y stack F7A08000 limit F7A05000 \WINDOWS\system32\ntkrnlpa.exe
Thread 867C5960 Start 80533CD0 Y stack F7A0C000 limit F7A09000 \WINDOWS\system32\ntkrnlpa.exe
Thread 867C56E8 Start 80533CD0 Y stack F7A10000 limit F7A0D000 \WINDOWS\system32\ntkrnlpa.exe
Thread 867C5470 Start 80533CD0 Y stack F7A14000 limit F7A11000 \WINDOWS\system32\ntkrnlpa.exe
Thread 867C4020 Start 80533CD0 Y stack F7A18000 limit F7A15000 \WINDOWS\system32\ntkrnlpa.exe
Thread 867C4DA8 Start 80533CD0 Y stack F7A1C000 limit F7A19000 \WINDOWS\system32\ntkrnlpa.exe
Thread 867C4B30 Start 80533CD0 Y stack F7A20000 limit F7A1D000 \WINDOWS\system32\ntkrnlpa.exe
Thread 867C48B8 Start 80533CD0 Y stack F7A24000 limit F7A21000 \WINDOWS\system32\ntkrnlpa.exe
Thread 867C4640 Start 80533CD0 Y stack F7A28000 limit F7A25000 \WINDOWS\system32\ntkrnlpa.exe
Thread 867C43C8 Start 80533CD0 Y stack F7A2C000 limit F7A29000 \WINDOWS\system32\ntkrnlpa.exe
Thread 867C3020 Start 80533CD0 Y stack F7A30000 limit F7A2D000 \WINDOWS\system32\ntkrnlpa.exe
Thread 867C3DA8 Start 80533CD0 Y stack F7A34000 limit F7A31000 \WINDOWS\system32\ntkrnlpa.exe
Thread 867C3B30 Start 80533CD0 Y stack F7A38000 limit F7A35000 \WINDOWS\system32\ntkrnlpa.exe
Thread 867C38B8 Start 806091A8 N stack F7A3C000 limit F7A39000 \WINDOWS\system32\ntkrnlpa.exe
Thread 867BF020 Start 80508898 N stack F7A40000 limit F7A3D000 \WINDOWS\system32\ntkrnlpa.exe
Thread 867BFDA8 Start 8064226E N stack F7A44000 limit F7A41000 \WINDOWS\system32\ntkrnlpa.exe
Thread 867BFB30 Start 8053B3E8 N stack F7A48000 limit F7A45000 \WINDOWS\system32\ntkrnlpa.exe
Thread 867BF8B8 Start 8053B6DE N stack F7A4C000 limit F7A49000 \WINDOWS\system32\ntkrnlpa.exe
Thread 867EAA20 Start 804EC6E8 N stack F7A50000 limit F7A4D000 \WINDOWS\system32\ntkrnlpa.exe
Thread 867EA7A8 Start 804EC6E8 N stack F7A54000 limit F7A51000 \WINDOWS\system32\ntkrnlpa.exe
Thread 867A5BC8 Start 8050AC2A N stack F7A58000 limit F7A55000 \WINDOWS\system32\ntkrnlpa.exe
Thread 867A5530 Start F74BDB10 N stack F7A5C000 limit F7A59000 ACPI.sys
Thread 867325C0 Start F739C91E N stack F7A64000 limit F7A61000 dmio.sys
Thread 86740DA8 Start F72DBB40 N stack F7A68000 limit F7A65000 PGPwded.sys
Thread 8672E9E0 Start F72DBB40 N stack F7A6C000 limit F7A69000 PGPwded.sys
Thread 86717A40 Start F720DB85 N stack F7A70000 limit F7A6D000 NDIS.sys
Thread 865BB458 Start F77D1F90 N stack F7A90000 limit F7A8D000 \SystemRoot\system32\DRIVERS\redbook.sys
Thread 86482DA8 Start F5F8381A N stack F7AA4000 limit F7AA1000 \SystemRoot\system32\DRIVERS\rdpdr.sys
Thread 86482B30 Start F5F8381A N stack F7AA8000 limit F7AA5000 \SystemRoot\system32\DRIVERS\rdpdr.sys
Thread 864828B8 Start F5F8381A N stack F7AAC000 limit F7AA9000 \SystemRoot\system32\DRIVERS\rdpdr.sys
Thread 86482640 Start F5F6CCFA N stack F7AB0000 limit F7AAD000 \SystemRoot\system32\DRIVERS\rdpdr.sys
Thread 863DE7D8 Start F781C92D N stack F7AC8000 limit F7AC5000 \SystemRoot\system32\DRIVERS\raspptp.sys
Thread 863E9020 Start F781D103 N stack F7AC4000 limit F7AC1000 \SystemRoot\system32\DRIVERS\raspptp.sys
Thread 86143598 Start F64B9E96 N stack F7166000 limit F7163000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
Thread 86395020 Start F64B9E96 N stack F716E000 limit F716B000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
Thread 86371B18 Start F64B9E96 N stack F7172000 limit F716F000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
Thread 85CC16F0 Start F60156D0 N stack F1D37000 limit F1D34000 \SystemRoot\system32\DRIVERS\parport.sys
Thread 862B1AC0 Start F1D2C038 N stack F1D2B000 limit F1D28000 \SystemRoot\system32\DRIVERS\rasacd.sys
Thread 85C636F0 Start F72DBB40 N stack F1D23000 limit F1D20000 PGPwded.sys
Thread 86310B70 Start EEF75A99 N stack F1D1F000 limit F1D1C000 \SystemRoot\system32\DRIVERS\rdbss.sys
Thread 85C366F0 Start EEF75A99 N stack F1D13000 limit F1D10000 \SystemRoot\system32\DRIVERS\rdbss.sys
Thread 85C356F0 Start EEF5D8AF N stack F177D000 limit F177A000 \SystemRoot\system32\DRIVERS\rdbss.sys
Thread 86616A78 Start 805EE5B8 N stack F7AC0000 limit F7ABD000 \WINDOWS\system32\ntkrnlpa.exe
Thread 862A4308 Start EEF679C1 N stack EE2D0000 limit EE2CD000 \SystemRoot\system32\DRIVERS\rdbss.sys
Thread 863B7DA8 Start F733D2A6 N stack F5EEA000 limit F5EE7000 PGPfsfd.sys
Thread 862D8DA8 Start EB1AC7D8 N stack EF223000 limit EF220000 \SystemRoot\system32\DRIVERS\mrxdav.sys
Thread 86600598 Start EB1AC7D8 N stack F0A1B000 limit F0A18000 \SystemRoot\system32\DRIVERS\mrxdav.sys
Thread 86312580 Start EB1AC7D8 N stack EB320000 limit EB31D000 \SystemRoot\system32\DRIVERS\mrxdav.sys
Thread 862F7B38 Start EB18E82C N stack EB300000 limit EB2FD000 \SystemRoot\system32\DRIVERS\mrxdav.sys
Thread 8636F220 Start EB18BD18 N stack F5EFA000 limit F5EF7000 \SystemRoot\system32\DRIVERS\mrxdav.sys
Thread 865FDDA8 Start F5195A48 N stack F5F06000 limit F5F03000 \??\C:\WINDOWS\system32\drivers\hcmon.sys
Thread 85E03798 Start EB260B32 N stack EB16F000 limit EB16C000 \SystemRoot\system32\DRIVERS\srv.sys
Thread 85E51798 Start EB260B32 N stack EB177000 limit EB174000 \SystemRoot\system32\DRIVERS\srv.sys
Thread 861EC718 Start EBA847B6 N stack EBB1B000 limit EBB18000 \SystemRoot\System32\Drivers\HTTP.sys
Thread 861BA8E8 Start EBA847B6 N stack EBAE7000 limit EBAE4000 \SystemRoot\System32\Drivers\HTTP.sys
Thread 861BA670 Start EBA847B6 N stack EBCB7000 limit EBCB4000 \SystemRoot\System32\Drivers\HTTP.sys
Thread 862409E0 Start EBA847B6 N stack EBCBB000 limit EBCB8000 \SystemRoot\System32\Drivers\HTTP.sys
Thread 861F9A98 Start EBA81DDA N stack EBCA7000 limit EBCA4000 \SystemRoot\System32\Drivers\HTTP.sys
00530000 Mapped 80000 2 ER--
00530000 Mapped 6000 ER-- ---
00536000 Reserve 7A000 ER-- ---
movzx edi, byte ptr [esi+2] ; KTIMER.Header.Hand
mov eax, large fs:20h ; KPCR.Prcb
mov ecx, edi
and ecx, 1Fh ;
KTIMER.Header.Hand
& 0x1F
lea ebx, [eax+ecx*8+4A0h] ; somewhere inside KPRCB.LockQueue
mov ecx, ebx
call KeAcquireQueuedSpinLockAtDpcLevel
mov byte ptr [esi+3], 0
mov eax, [esi+18h]
mov ecx, [esi+1Ch]
cmp eax, ecx
mov [ecx], eax
mov [eax+4], ecx
jnz short loc_4ABC30
shl edi, 4 ;
KTIMER.Header.Hand
* sizeof(KTIMER_TABLE_ENTRY)
add edi, offset _KiTimerTableListHead ;
KiTimerTableListHead[
KTIMER.Header.Hand]
cmp edi, [edi]
Каким образом мотивировать с помощью зарплаты, не повышая ее?Должен признаться - последний пункт особенно вызывает у меня некоторые сложности. Обычно хочется просто
Как смотреть в глаза, когда увольняешь?
This security update resolves a privately reported vulnerability in Microsoft Windows. The vulnerability could allow remote code execution if an attacker sends a continuous flow of specially crafted UDP packets to a closed port on a target systemЧак Норрис нашел, не иначе
cacls %WINDIR%\SYSTEM32\t2embed.dll /E /P """ & Everyone & """:N"
icacls %WINDIR%\SYSWOW64\t2embed.DLL /deny """ & Everyone & """:(F)"
В общем, мы тут напряглись, посчитали и обалдели. В результате появился апдейт: 70 тысяча почему не 100500 миллионов ? доказательств все равно нет никаких
у нас уже год не меняется количество сотрудников в вирлабекризис посетил внезапно и найм заморожен ?
У нас уже много лет как на боевом дежурстве … авто-дятлы! Человеческому фактору достаётся только самая интеллектуальная работа – разбирать самые сложные образцы, исследовать ботнеты, следить, чтобы авто-дятлы не фолсилиололо, автодятел виноват в необнаружении stuxnetа, ога
Сигнал поступает в KSN, где система автоматически вычисляет репутацию файла (веса всех признаков и действий) и принимает решение о детекте...Разумеется, чем больше сообщений об одном и том же файле с разных компьютеров, тем более высокий приоритет обработки и выше точность и критичность вердиктаа мы типа не при делах - 30 миллионов
char _Buf[sizeof(_Ty)]; // <-- тут создаем неинициализированный буфер
if (!_Internal_pop_if_present(reinterpret_cast<_Ty*>(_Buf)))
virtual void _Assign_and_destroy_item( void* _Dst, _Page& _Src, size_t _Index )
{
_Ty& _From = _Get_ref(_Src,_Index);
_Destroyer _D(_From);
*static_cast<_Ty*>(_Dst) = _From; // а тут присваиваем неинициализированному объекту по адресу
_Buf. Соотв-но оператор = тошнит
}
while(queue.try_pop(dst)){}
Особенное возмущение общественности вызвало то, что "бундестроян" может не только скачивать данные с зараженных компьютеров, но и загружать их туда. Таким образом, законность тех или иных доказательств, впоследствии представленных полицией в суд, оказывается сомнительной. При этом следы собственного пребывания в чужом ПК программа умеет стирать
Разработчики антивирусных программ F-Secure и Sophos заявили, что обновляют базы и добавляют защиту от "бундестрояна". Ожидается, что и другие компании последуют их примеруНадо полагать Спасатели Вселенной™ не добавят, ибо социально близкие, бгг
push 4 ; flProtect
push 3000h ; flAllocationType
push 8D0h ; dwSize
push edi ; lpAddress
call ds:__imp__VirtualAlloc@16 ; VirtualAlloc(x,x,x,x)
mov [esi+230h], eax ; PEB.WerRegistrationData
mov dword ptr [eax], 8D0h
push [ebp+pRecoveryCallback]
call ds:__imp__RtlEncodeSystemPointer@4 ; RtlEncodeSystemPointer(x)
mov [edi+830h], eax
struct PolicyChangeNotification
{
struct _LIST_ENTRY List;
ULONG Count;
};
struct PolicyChangeNotification_item
{
/* Win32 Win64 */
/* 0x0 0x0 */ struct _LIST_ENTRY ListLink;
/* 0x8 0x10 */ PBYTE function_cb;
/* 0xC 0x18 */ PBYTE unk1;
/* 0x10 0x20 */ PBYTE unk2;
/* 0x14 0x28 */ PBYTE unk3;
};
Для лечения вируса были использованы инструкции по удалению вредоносного ПО с сайта Лаборатории Касперского, однако, это не помоглоотсюда. хабр, бывает, доставляет иногда
struct THUNK_ITEM
{
const char *func_name;
PVOID verifier_thunk;
PVOID unknown;
ULONG index;
PVOID *original_func;
};
struct ddi_wrappers
{
DWORD version; // равен 4, что проверяется в ф-ции ViXdvBindXdvDDIWrappers
DWORD tab_size;
PVOID wrappers[
tab_size];
};