среда, 19 октября 2016 г.

rfg patches in windows 10 build 14942

Lets see for example body of function user32!GetCursor:
.text:00000001800026E0             GetCursor       proc near          .text:00000001800026E0 66 90                   xchg    ax, ax
.text:00000001800026E2 0F 1F 80 00 00 00 00    nop     dword ptr [rax+00000000h]
.text:00000001800026E9 B9 06 00 00 00          mov     ecx, 6
.text:00000001800026EE 48 FF 25 EB 76 09 00    jmp cs:__imp_NtUserGetThreadState
.text:00000001800026EE                         GetCursor       endp
.text:00000001800026F5 90 90 90 90 90 90 90 90                 db 8 dup(90h)


and in debugger:
0:007> ? user32!GetCursor
Evaluate expression: 140732937348832 = 00007ffe`f0bd26e0
0:007> u 00007ffe`f0bd26e0
USER32!GetCursor:
00007ffe`f0bd26e0 488b0424        mov     rax,qword ptr [rsp]
00007ffe`f0bd26e4 6448890424      mov     qword ptr fs:[rsp],rax
00007ffe`f0bd26e9 b906000000      mov     ecx,6
00007ffe`f0bd26ee 644c8b1c24      mov     r11,qword ptr fs:[rsp]
00007ffe`f0bd26f3 4c3b1c24        cmp     r11,qword ptr [rsp]
00007ffe`f0bd26f7 0f85a3e40300    jne     USER32!_guard_ss_verify_failure (00007ffe`f0c10ba0)
00007ffe`f0bd26fd 48ff25dc760900  jmp     qword ptr [USER32!_imp_NtUserGetThreadState (00007ffe`f0c69de0)]


dramatic differences ! it seems that this code has some compiler support and changes in kernel
Signature search in kernel gives us several places:

.rdata:0000000140261680 MiRfgNopPrologueBytes db  66h .rdata:0000000140261681                 db  90h ; Р
.rdata:0000000140261682                 db  0Fh
.rdata:0000000140261683                 db  1Fh
.rdata:0000000140261684                 db  80h ; А

...
.rdata:0000000140261690 MiRfgInstrumentedEpilogueBytes db  64h .rdata:0000000140261691                 db  4Ch ; L
.rdata:0000000140261692                 db  8Bh ; Л
.rdata:0000000140261693                 db  1Ch
.rdata:0000000140261694                 db  24h ; $
.rdata:0000000140261695                 db  4Ch ; L
.rdata:0000000140261696                 db  3Bh ; ;
.rdata:0000000140261697                 db  1Ch
.rdata:0000000140261698 unk_140261698   db  24h ; $ .rdata:0000000140261699                 db  0Fh
.rdata:000000014026169A                 db  85h ; Е

...
.rdata:00000001402616A0 MiRfgInstrumentedPrologueBytes db  48h ; H
.rdata:00000001402616A1                 db  8Bh ; Л
.rdata:00000001402616A2                 db    4
.rdata:00000001402616A3                 db  24h ; $
.rdata:00000001402616A4                 db  64h ; d
.rdata:00000001402616A5                 db  48h ; H
.rdata:00000001402616A6                 db  89h ; Й
.rdata:00000001402616A7                 db    4
.rdata:00000001402616A8                 db  24h ; $


all references from function MiPerformRfgFixups. Time to debugger:
kd> ? nt!MiRevertRfgFixups
Evaluate expression: -8783434753244 = fffff802`f27ddb24
kd> bp fffff802`f27ddb24
kd> k
 # Child-SP          RetAddr           Call Site
00 ffff8181`75c5a5d8 fffff802`f2854e8b nt!MiRevertRfgFixups
01 ffff8181`75c5a5e0 fffff802`f2890047 nt!MiValidateSectionCreate+0x423
02 ffff8181`75c5a7a0 fffff802`f288f6dc nt!MiCreateSection+0x927
03 ffff8181`75c5a970 fffff802`f288f4f8 nt!MmCreateSection+0xec
04 ffff8181`75c5aa00 fffff802`f257e093 nt!NtCreateSection+0x158
05 ffff8181`75c5aa90 00007ffe`f0f56cf4 nt!KiSystemServiceCopyEnd+0x13
06 00000047`d267b6a8 00007ffe`f0ef76ad 0x00007ffe`f0f56cf4
07 00000047`d267b6b0 0000021d`3ec4e7a0 0x00007ffe`f0ef76ad
08 00000047`d267b6b8 00000047`d267bca0 0x0000021d`3ec4e7a0
09 00000047`d267b6c0 00000000`00000000 0x00000047`d267bca0


Also we have MmEnableRfg kernel option in Session Manager\\Kernel with value name EnableRfg

List of patched modules:
C:\Program Files\Windows Defender\MpCommu.dll
C:\Program Files\Windows Defender\mpclient.dll
C:\Program Files\Windows Defender\shellext.dll
C:\Windows\SYSTEM32\Bcp47Langs.dll
C:\Windows\SYSTEM32\CRYPTBASE.dll
C:\Windows\SYSTEM32\CRYPTSP.dll
C:\Windows\SYSTEM32\CSRSRV.dll
C:\Windows\SYSTEM32\CSystemEventsBrokerClient.dll
C:\Windows\SYSTEM32\Cabinet.dll
C:\Windows\SYSTEM32\ConhostV2.dll
C:\Windows\SYSTEM32\DABAPI.dll
C:\Windows\SYSTEM32\DEVOBJ.dll
C:\Windows\SYSTEM32\DEVRTL.dll
C:\Windows\SYSTEM32\DNSAPI.dll
C:\Windows\SYSTEM32\DWrite.dll
C:\Windows\SYSTEM32\EdgeManager.dll
C:\Windows\SYSTEM32\EventAggregation.dll
C:\Windows\SYSTEM32\Fwpuclnt.dll
C:\Windows\SYSTEM32\JoinUtil.dll
C:\Windows\SYSTEM32\LINKINFO.dll
C:\Windows\SYSTEM32\MLANG.dll
C:\Windows\SYSTEM32\MPR.dll
C:\Windows\SYSTEM32\MicrosoftAccountCloudAP.dll
C:\Windows\SYSTEM32\MrmCoreR.dll
C:\Windows\SYSTEM32\NETAPI32.dll
C:\Windows\SYSTEM32\NInput.dll
C:\Windows\SYSTEM32\NTASN1.dll
C:\Windows\SYSTEM32\Netapi32.dll
C:\Windows\SYSTEM32\OLEACC.dll
C:\Windows\SYSTEM32\PROPSYS.dll
C:\Windows\SYSTEM32\PhotoMetadataHandler.dll
C:\Windows\SYSTEM32\PortableDeviceApi.dll
C:\Windows\SYSTEM32\QuickActionsDataModel.dll
C:\Windows\SYSTEM32\SLC.dll
C:\Windows\SYSTEM32\Secur32.dll
C:\Windows\SYSTEM32\SpeechPal.dll
C:\Windows\SYSTEM32\SspiCli.dll
C:\Windows\SYSTEM32\SspiSrv.dll
C:\Windows\SYSTEM32\StateRepository.Core.dll
C:\Windows\SYSTEM32\TWINAPI.dll
C:\Windows\SYSTEM32\TextInputFramework.dll
C:\Windows\SYSTEM32\USERENV.dll
C:\Windows\SYSTEM32\UserDataTypeHelperUtil.dll
C:\Windows\SYSTEM32\UxTheme.dll
C:\Windows\SYSTEM32\VEEventDispatcher.dll
C:\Windows\SYSTEM32\VERSION.dll
C:\Windows\SYSTEM32\WINBRAND.dll
C:\Windows\SYSTEM32\WINHTTP.dll
C:\Windows\SYSTEM32\WININET.dll
C:\Windows\SYSTEM32\WINMMBASE.dll
C:\Windows\SYSTEM32\WINSTA.dll
C:\Windows\SYSTEM32\WPTaskScheduler.dll
C:\Windows\SYSTEM32\WSOCK32.dll
C:\Windows\SYSTEM32\WTSAPI32.dll
C:\Windows\SYSTEM32\WUDFPlatform.dll
C:\Windows\SYSTEM32\WindowsCodecs.dll
C:\Windows\SYSTEM32\XmlLite.dll
C:\Windows\SYSTEM32\aepic.dll
C:\Windows\SYSTEM32\apphelp.dll
C:\Windows\SYSTEM32\appinfoext.dll
C:\Windows\SYSTEM32\atlthunk.dll
C:\Windows\SYSTEM32\bcrypt.dll
C:\Windows\SYSTEM32\bi.dll
C:\Windows\SYSTEM32\capauthz.dll
C:\Windows\SYSTEM32\cdp.dll
C:\Windows\SYSTEM32\chakra.dll
C:\Windows\SYSTEM32\clipc.dll
C:\Windows\SYSTEM32\cmintegrator.dll
C:\Windows\SYSTEM32\coreaudiopolicymanagerext.dll
C:\Windows\SYSTEM32\cryptnet.dll
C:\Windows\SYSTEM32\cryptsp.dll
C:\Windows\SYSTEM32\cscapi.dll
C:\Windows\SYSTEM32\d2d1.dll
C:\Windows\SYSTEM32\d3d10warp.dll
C:\Windows\SYSTEM32\d3d11.dll
C:\Windows\SYSTEM32\dcomp.dll
C:\Windows\SYSTEM32\dsreg.dll
C:\Windows\SYSTEM32\dwmapi.dll
C:\Windows\SYSTEM32\dwmghost.dll
C:\Windows\SYSTEM32\dwminit.dll
C:\Windows\SYSTEM32\dwmredir.dll
C:\Windows\SYSTEM32\dwrite.dll
C:\Windows\SYSTEM32\dxgi.dll
C:\Windows\SYSTEM32\edgehtml.dll
C:\Windows\SYSTEM32\edputil.dll
C:\Windows\SYSTEM32\elscore.dll
C:\Windows\SYSTEM32\embeddedmodesvcapi.dll
C:\Windows\SYSTEM32\firewallapi.dll
C:\Windows\SYSTEM32\fontgroupsoverride.dll
C:\Windows\SYSTEM32\fwbase.dll
C:\Windows\SYSTEM32\globcollationhost.dll
C:\Windows\SYSTEM32\globinputhost.dll
C:\Windows\SYSTEM32\gpapi.dll
C:\Windows\SYSTEM32\httpprxc.dll
C:\Windows\SYSTEM32\ieapfltr.dll
C:\Windows\SYSTEM32\iertutil.dll
C:\Windows\SYSTEM32\inputhost.dll
C:\Windows\SYSTEM32\ism.dll
C:\Windows\SYSTEM32\licensemanagerapi.dll
C:\Windows\SYSTEM32\logoncli.dll
C:\Windows\SYSTEM32\mrmcorer.dll
C:\Windows\SYSTEM32\msftedit.dll
C:\Windows\SYSTEM32\mskeyprotect.dll
C:\Windows\SYSTEM32\msvcp110_win.dll
C:\Windows\SYSTEM32\ncrypt.dll
C:\Windows\SYSTEM32\netjoin.dll
C:\Windows\SYSTEM32\netprovfw.dll
C:\Windows\SYSTEM32\netutils.dll
C:\Windows\SYSTEM32\ntmarta.dll
C:\Windows\SYSTEM32\ntshrui.dll
C:\Windows\SYSTEM32\ondemandconnroutehelper.dll
C:\Windows\SYSTEM32\pcacli.dll
C:\Windows\SYSTEM32\policymanager.dll
C:\Windows\SYSTEM32\profext.dll
C:\Windows\SYSTEM32\profsvcext.dll
C:\Windows\SYSTEM32\psmserviceexthost.dll
C:\Windows\SYSTEM32\resourcepolicyclient.dll
C:\Windows\SYSTEM32\resourcepolicyserver.dll
C:\Windows\SYSTEM32\rmclient.dll
C:\Windows\SYSTEM32\samcli.dll
C:\Windows\SYSTEM32\samsrv.dll
C:\Windows\SYSTEM32\scesrv.dll
C:\Windows\SYSTEM32\settingsynccore.dll
C:\Windows\SYSTEM32\settingsyncpolicy.dll
C:\Windows\SYSTEM32\sfc_os.dll
C:\Windows\SYSTEM32\spinf.dll
C:\Windows\SYSTEM32\srpapi.dll
C:\Windows\SYSTEM32\srvcli.dll
C:\Windows\SYSTEM32\sscoreext.dll
C:\Windows\SYSTEM32\sxs.dll
C:\Windows\SYSTEM32\tdh.dll
C:\Windows\SYSTEM32\textinputframework.dll
C:\Windows\SYSTEM32\tokenbinding.dll
C:\Windows\SYSTEM32\twinapi.appcore.dll
C:\Windows\SYSTEM32\udwm.dll
C:\Windows\SYSTEM32\umpoext.dll
C:\Windows\SYSTEM32\urlmon.dll
C:\Windows\SYSTEM32\userenv.dll
C:\Windows\SYSTEM32\usermgrcli.dll
C:\Windows\SYSTEM32\vssapi.dll
C:\Windows\SYSTEM32\wbemcomn.dll
C:\Windows\SYSTEM32\webio.dll
C:\Windows\SYSTEM32\wer.dll
C:\Windows\SYSTEM32\wevtapi.dll
C:\Windows\SYSTEM32\windows.devices.radios.dll
C:\Windows\SYSTEM32\windows.globalization.dll
C:\Windows\SYSTEM32\windows.ui.core.textinput.dll
C:\Windows\SYSTEM32\winhttp.dll
C:\Windows\SYSTEM32\wininitext.dll
C:\Windows\SYSTEM32\winmm.dll
C:\Windows\SYSTEM32\winmmbase.dll
C:\Windows\SYSTEM32\winsta.dll
C:\Windows\SYSTEM32\wintypes.dll
C:\Windows\SYSTEM32\wkscli.dll
C:\Windows\SYSTEM32\wlanapi.dll
C:\Windows\SYSTEM32\wtsapi32.dll
C:\Windows\ShellExperiences\QuickActions.dll
C:\Windows\ShellExperiences\StartUI.dll
C:\Windows\ShellExperiences\Windows.UI.ActionCenter.dll
C:\Windows\ShellExperiences\Windows.UI.Shell.SharedUtilities.dll
C:\Windows\System32\ACPBackgroundManagerPolicy.dll
C:\Windows\System32\ADVAPI32.dll
C:\Windows\System32\APHostClient.dll
C:\Windows\System32\AVRT.dll
C:\Windows\System32\AboveLockAppHost.dll
C:\Windows\System32\AccountAccessor.dll
C:\Windows\System32\ActXPrxy.dll
C:\Windows\System32\Actioncenter.dll
C:\Windows\System32\AppContracts.dll
C:\Windows\System32\AppMon.dll
C:\Windows\System32\AppXDeploymentClient.dll
C:\Windows\System32\ApplicationFrame.dll
C:\Windows\System32\AppointmentActivation.dll
C:\Windows\System32\BackgroundMediaPolicy.dll
C:\Windows\System32\Bcp47Langs.dll
C:\Windows\System32\CEMAPI.dll
C:\Windows\System32\CFGMGR32.dll
C:\Windows\System32\CRYPT32.dll
C:\Windows\System32\CRYPTBASE.dll
C:\Windows\System32\CRYPTSP.dll
C:\Windows\System32\Cabinet.dll
C:\Windows\System32\ClipboardServer.dll
C:\Windows\System32\ContentDeliveryManager.Utilities.dll
C:\Windows\System32\CourtesyEngine.dll
C:\Windows\System32\DDORes.dll
C:\Windows\System32\DEVOBJ.dll
C:\Windows\System32\DEVRTL.dll
C:\Windows\System32\DNSAPI.dll
C:\Windows\System32\DSROLE.dll
C:\Windows\System32\DUser.dll
C:\Windows\System32\DevDispItemProvider.dll
C:\Windows\System32\DevPropMgr.dll
C:\Windows\System32\DeviceDriverRetrievalClient.dll
C:\Windows\System32\DeviceMetadataRetrievalClient.dll
C:\Windows\System32\ESENT.dll
C:\Windows\System32\EhStorAPI.dll
C:\Windows\System32\EhStorShell.dll
C:\Windows\System32\EthernetMediaManager.dll
C:\Windows\System32\EventAggregation.dll
C:\Windows\System32\FWPolicyIOMgr.dll
C:\Windows\System32\FirewallAPI.dll
C:\Windows\System32\FlightSettings.dll
C:\Windows\System32\FunDisc.dll
C:\Windows\System32\GDI32.dll
C:\Windows\System32\HrtfApo.dll
C:\Windows\System32\IDStore.dll
C:\Windows\System32\IMM32.dll
C:\Windows\System32\IPPMon.dll
C:\Windows\System32\InputSwitch.dll
C:\Windows\System32\LINKINFO.dll
C:\Windows\System32\MCCSEngineShared.dll
C:\Windows\System32\MMDevApi.dll
C:\Windows\System32\MPR.dll
C:\Windows\System32\MSASN1.dll
C:\Windows\System32\MSCTF.dll
C:\Windows\System32\MSWB7.dll
C:\Windows\System32\MrmCoreR.dll
C:\Windows\System32\NSI.dll
C:\Windows\System32\NTASN1.dll
C:\Windows\System32\NetSetupShim.dll
C:\Windows\System32\NetworkUXBroker.dll
C:\Windows\System32\NotificationController.dll
C:\Windows\System32\NotificationControllerPS.dll
C:\Windows\System32\NotificationObjFactory.dll
C:\Windows\System32\NotificationPlatformComponent.dll
C:\Windows\System32\OnDemandBrokerClient.dll
C:\Windows\System32\OneCoreCommonProxyStub.dll
C:\Windows\System32\OneCoreUAPCommonProxyStub.dll
C:\Windows\System32\PIMSTORE.dll
C:\Windows\System32\POWRPROF.dll
C:\Windows\System32\PROPSYS.dll
C:\Windows\System32\PhoneUtil.dll
C:\Windows\System32\PlaySndSrv.dll
C:\Windows\System32\PlayToDevice.dll
C:\Windows\System32\PortableDeviceApi.dll
C:\Windows\System32\PortableDeviceTypes.dll
C:\Windows\System32\PrintIsolationProxy.dll
C:\Windows\System32\ProximityService.dll
C:\Windows\System32\RMCLIENT.dll
C:\Windows\System32\RPCRT4.dll
C:\Windows\System32\RTMediaFrame.dll
C:\Windows\System32\ResourcePolicyClient.dll
C:\Windows\System32\SAMLIB.dll
C:\Windows\System32\SETUPAPI.dll
C:\Windows\System32\SHCORE.dll
C:\Windows\System32\SHELL32.dll
C:\Windows\System32\SHLWAPI.dll
C:\Windows\System32\SLC.dll
C:\Windows\System32\SSDPAPI.dll
C:\Windows\System32\Secur32.dll
C:\Windows\System32\SecureTimeAggregator.dll
C:\Windows\System32\SharedStartModel.dll
C:\Windows\System32\ShellCommonCommonProxyStub.dll
C:\Windows\System32\SpatializerApo.dll
C:\Windows\System32\Speech_OneCore\Common\sapi_onecore.dll
C:\Windows\System32\SspiCli.dll
C:\Windows\System32\StartTileData.dll
C:\Windows\System32\StateRepository.Core.dll
C:\Windows\System32\StructuredQuery.dll
C:\Windows\System32\SyncCenter.dll
C:\Windows\System32\SyncController.dll
C:\Windows\System32\SystemCredentialManager.dll
C:\Windows\System32\SystemEventsBrokerClient.dll
C:\Windows\System32\TOKENBINDING.dll
C:\Windows\System32\TextInputFramework.dll
C:\Windows\System32\TokenBroker.dll
C:\Windows\System32\UIAnimation.dll
C:\Windows\System32\USER32.dll
C:\Windows\System32\USERENV.dll
C:\Windows\System32\UiaManager.dll
C:\Windows\System32\UserDataLanguageUtil.dll
C:\Windows\System32\UserDataTypeHelperUtil.dll
C:\Windows\System32\Userenv.dll
C:\Windows\System32\VEEventDispatcher.dll
C:\Windows\System32\WINHTTP.dll
C:\Windows\System32\WININET.dll
C:\Windows\System32\WINMM.dll
C:\Windows\System32\WINMMBASE.dll
C:\Windows\System32\WINSTA.dll
C:\Windows\System32\WINTRUST.dll
C:\Windows\System32\WLDAP32.dll
C:\Windows\System32\WMALFXGFXDSP.dll
C:\Windows\System32\WS2_32.dll
C:\Windows\System32\WSCAPI.dll
C:\Windows\System32\WSDMon.dll
C:\Windows\System32\WTSAPI32.dll
C:\Windows\System32\WinTypes.dll
C:\Windows\System32\Windows.ApplicationModel.Background.SystemEventsBroker.dll
C:\Windows\System32\Windows.ApplicationModel.Background.TimeBroker.dll
C:\Windows\System32\Windows.ApplicationModel.dll
C:\Windows\System32\Windows.Cortana.ProxyStub.dll
C:\Windows\System32\Windows.Gaming.Input.dll
C:\Windows\System32\Windows.Globalization.Fontgroups.dll
C:\Windows\System32\Windows.Globalization.dll
C:\Windows\System32\Windows.Graphics.dll
C:\Windows\System32\Windows.Media.Speech.dll
C:\Windows\System32\Windows.Networking.BackgroundTransfer.BackgroundManagerPolicy.dll
C:\Windows\System32\Windows.Networking.Connectivity.dll
C:\Windows\System32\Windows.Networking.HostName.dll
C:\Windows\System32\Windows.Networking.Sockets.PushEnabledApplication.dll
C:\Windows\System32\Windows.Security.Authentication.OnlineId.dll
C:\Windows\System32\Windows.Security.Authentication.Web.Core.dll
C:\Windows\System32\Windows.Shell.ServiceHostBuilder.dll
C:\Windows\System32\Windows.StateRepository.dll
C:\Windows\System32\Windows.StateRepositoryBroker.dll
C:\Windows\System32\Windows.Storage.ApplicationData.dll
C:\Windows\System32\Windows.Storage.dll
C:\Windows\System32\Windows.System.Launcher.dll
C:\Windows\System32\Windows.UI.Immersive.dll
C:\Windows\System32\Windows.UI.Shell.dll
C:\Windows\System32\Windows.UI.Xaml.dll
C:\Windows\System32\Windows.UI.dll
C:\Windows\System32\Windows.Web.Http.dll
C:\Windows\System32\Windows.Web.dll
C:\Windows\System32\WorkfoldersShell.dll
C:\Windows\System32\XmlLite.dll
C:\Windows\System32\advapi32.dll
C:\Windows\System32\appresolver.dll
C:\Windows\System32\appsruprov.dll
C:\Windows\System32\audioeng.dll
C:\Windows\System32\audioses.dll
C:\Windows\System32\bcd.dll
C:\Windows\System32\bcrypt.dll
C:\Windows\System32\bcryptPrimitives.dll
C:\Windows\System32\bcryptprimitives.dll
C:\Windows\System32\biwinrt.dll
C:\Windows\System32\canonurl.dll
C:\Windows\System32\cdp.dll
C:\Windows\System32\cdprt.dll
C:\Windows\System32\certca.dll
C:\Windows\System32\certenroll.dll
C:\Windows\System32\cfgmgr32.dll
C:\Windows\System32\chakra.dll
C:\Windows\System32\clbcatq.dll
C:\Windows\System32\combase.dll
C:\Windows\System32\coml2.dll
C:\Windows\System32\container.dll
C:\Windows\System32\cryptcatsvc.dll
C:\Windows\System32\cryptnet.dll
C:\Windows\System32\crypttpmeksvc.dll
C:\Windows\System32\cscapi.dll
C:\Windows\System32\cscobj.dll
C:\Windows\System32\cscui.dll
C:\Windows\System32\d2d1.dll
C:\Windows\System32\daxexec.dll
C:\Windows\System32\deviceaccess.dll
C:\Windows\System32\deviceassociation.dll
C:\Windows\System32\dhcpcore6.dll
C:\Windows\System32\dlnashext.dll
C:\Windows\System32\drvstore.dll
C:\Windows\System32\dsclient.dll
C:\Windows\System32\edputil.dll
C:\Windows\System32\eeprov.dll
C:\Windows\System32\elscore.dll
C:\Windows\System32\energyprov.dll
C:\Windows\System32\execmodelclient.dll
C:\Windows\System32\fdPnp.dll
C:\Windows\System32\fdproxy.dll
C:\Windows\System32\fdssdp.dll
C:\Windows\System32\fdwsd.dll
C:\Windows\System32\framedynos.dll
C:\Windows\System32\fwbase.dll
C:\Windows\System32\fwpuclnt.dll
C:\Windows\System32\gameux.dll
C:\Windows\System32\gdi32.dll
C:\Windows\System32\gdi32full.dll
C:\Windows\System32\hcproviders.dll
C:\Windows\System32\hgcpl.dll
C:\Windows\System32\iertutil.dll
C:\Windows\System32\imagehlp.dll
C:\Windows\System32\imapi2.dll
C:\Windows\System32\imm32.dll
C:\Windows\System32\inetpp.dll
C:\Windows\System32\kernel.appcore.dll
C:\Windows\System32\localspl.dll
C:\Windows\System32\modernexecserver.dll
C:\Windows\System32\msctf.dll
C:\Windows\System32\msdelta.dll
C:\Windows\System32\msvcp110_win.dll
C:\Windows\System32\msvcp_win.dll
C:\Windows\System32\msvcrt.dll
C:\Windows\System32\msxml6.dll
C:\Windows\System32\ncrypt.dll
C:\Windows\System32\ncuprov.dll
C:\Windows\System32\nduprov.dll
C:\Windows\System32\netprofm.dll
C:\Windows\System32\netutils.dll
C:\Windows\System32\newdev.dll
C:\Windows\System32\ngcpopkeysrv.dll
C:\Windows\System32\nlaapi.dll
C:\Windows\System32\npmproxy.dll
C:\Windows\System32\npsm.dll
C:\Windows\System32\pcwum.dll
C:\Windows\System32\pnidui.dll
C:\Windows\System32\portabledeviceconnectapi.dll
C:\Windows\System32\powrprof.dll
C:\Windows\System32\profapi.dll
C:\Windows\System32\provsvc.dll
C:\Windows\System32\psapi.dll
C:\Windows\System32\rasadhlp.dll
C:\Windows\System32\rmclient.dll
C:\Windows\System32\samcli.dll
C:\Windows\System32\sechost.dll
C:\Windows\System32\setupapi.dll
C:\Windows\System32\sfc_os.dll
C:\Windows\System32\shacct.dll
C:\Windows\System32\shacctprofile.dll
C:\Windows\System32\shcore.dll
C:\Windows\System32\shell32.dll
C:\Windows\System32\shlwapi.dll
C:\Windows\System32\smartscreenps.dll
C:\Windows\System32\snmpapi.dll
C:\Windows\System32\srchadmin.dll
C:\Windows\System32\srumapi.dll
C:\Windows\System32\srumsvc.dll
C:\Windows\System32\srvcli.dll
C:\Windows\System32\ssdpapi.dll
C:\Windows\System32\sspicli.dll
C:\Windows\System32\taskschd.dll
C:\Windows\System32\tcpmon.dll
C:\Windows\System32\threadpoolwinrt.dll
C:\Windows\System32\thumbcache.dll
C:\Windows\System32\twinapi.appcore.dll
C:\Windows\System32\twinapi.dll
C:\Windows\System32\twinui.appcore.dll
C:\Windows\System32\ucrtbase.dll
C:\Windows\System32\updatehandlers.dll
C:\Windows\System32\urlmon.dll
C:\Windows\System32\usbmon.dll
C:\Windows\System32\user32.dll
C:\Windows\System32\usermgrproxy.dll
C:\Windows\System32\usoapi.dll
C:\Windows\System32\vaultcli.dll
C:\Windows\System32\vaultsvc.dll
C:\Windows\System32\wcmapi.dll
C:\Windows\System32\webio.dll
C:\Windows\System32\webservices.dll
C:\Windows\System32\wer.dll
C:\Windows\System32\werconcpl.dll
C:\Windows\System32\wevtapi.dll
C:\Windows\System32\win32spl.dll
C:\Windows\System32\win32u.dll
C:\Windows\System32\windowmanagement.dll
C:\Windows\System32\windows.immersiveshell.serviceprovider.dll
C:\Windows\System32\windows.storage.dll
C:\Windows\System32\wkscli.dll
C:\Windows\System32\wlidprov.dll
C:\Windows\System32\wpnapps.dll
C:\Windows\System32\wpncore.dll
C:\Windows\System32\wpnprv.dll
C:\Windows\System32\wpnsruprov.dll
C:\Windows\System32\ws2_32.dll
C:\Windows\System32\wscinterop.dll
C:\Windows\System32\wsdapi.dll
C:\Windows\System32\wship6.dll
C:\Windows\System32\wshirda.dll
C:\Windows\System32\wsnmp32.dll
C:\Windows\System32\wuapi.dll
C:\Windows\System32\wwapi.dll
C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\ActionMgr.dll
C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\BingConfigurationClient.dll
C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\CSGSuggestLib.dll
C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.Actions.dll
C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.BackgroundTask.dll
C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.Core.dll
C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.Dss.BackgroundTask.dll
C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\CortanaApi.dll
C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RemindersUI.dll
C:\Windows\WinSxS\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.14942.1000_none_896d6963577866fb\Comctl32.dll
C:\Windows\WinSxS\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.14942.1000_none_896d6963577866fb\comctl32.dll
C:\Windows\WinSxS\amd64_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.14942.1000_none_ba585c48b20ae0c9\gdiplus.dll
C:\Windows\system32\ACTIVEDS.dll
C:\Windows\system32\AUTHZ.dll
C:\Windows\system32\BatMeter.dll
C:\Windows\system32\Bcp47Langs.dll
C:\Windows\system32\Bcrypt.dll
C:\Windows\system32\CLDAPI.dll
C:\Windows\system32\CLUSAPI.dll
C:\Windows\system32\CRYPTBASE.dll
C:\Windows\system32\CRYPTSP.dll
C:\Windows\system32\Cabinet.dll
C:\Windows\system32\CbtBackgroundManagerPolicy.dll
C:\Windows\system32\CredentialMigrationHandler.dll
C:\Windows\system32\D3DCOMPILER_47.dll
C:\Windows\system32\DAFWSD.dll
C:\Windows\system32\DEVOBJ.dll
C:\Windows\system32\DEVRTL.dll
C:\Windows\system32\DNSAPI.dll
C:\Windows\system32\DPAPI.dll
C:\Windows\system32\DSROLE.dll
C:\Windows\system32\DataExchange.dll
C:\Windows\system32\ESENT.dll
C:\Windows\system32\EditBufferTestHook.dll
C:\Windows\system32\ElsLad.dll
C:\Windows\system32\ExecModelClient.dll
C:\Windows\system32\FWPolicyIOMgr.dll
C:\Windows\system32\FirewallAPI.dll
C:\Windows\system32\InputLocaleManager.dll
C:\Windows\system32\InputService.dll
C:\Windows\system32\KerbClientShared.dll
C:\Windows\system32\LINKINFO.dll
C:\Windows\system32\MPR.dll
C:\Windows\system32\MSUTB.dll
C:\Windows\system32\MTFServer.dll
C:\Windows\system32\MsCtfMonitor.dll
C:\Windows\system32\Msidle.dll
C:\Windows\system32\NTASN1.dll
C:\Windows\system32\NtlmShared.dll
C:\Windows\system32\PCPKsp.dll
C:\Windows\system32\PROPSYS.dll
C:\Windows\system32\PersonaX.dll
C:\Windows\system32\ProximityCommon.dll
C:\Windows\system32\ProximityCommonPal.dll
C:\Windows\system32\ProximityServicePAL.dll
C:\Windows\system32\RmClient.dll
C:\Windows\system32\RpcRtRemote.dll
C:\Windows\system32\SAMLIB.dll
C:\Windows\system32\SHDOCVW.dll
C:\Windows\system32\SPINF.dll
C:\Windows\system32\SSDPAPI.dll
C:\Windows\system32\SebBackgroundManagerPolicy.dll
C:\Windows\system32\SettingMonitor.dll
C:\Windows\system32\SettingSync.dll
C:\Windows\system32\ShareHost.dll
C:\Windows\system32\SmartCardBackgroundPolicy.dll
C:\Windows\system32\SspiCli.dll
C:\Windows\system32\StateRepository.Core.dll
C:\Windows\system32\Syncreg.dll
C:\Windows\system32\TextInputFramework.dll
C:\Windows\system32\USERENV.dll
C:\Windows\system32\UXINIT.dll
C:\Windows\system32\UxTheme.dll
C:\Windows\system32\VEEventDispatcher.dll
C:\Windows\system32\VERSION.dll
C:\Windows\system32\WINHTTP.dll
C:\Windows\system32\WINSTA.dll
C:\Windows\system32\WMICLNT.dll
C:\Windows\system32\Windows.Internal.Shell.Broker.dll
C:\Windows\system32\Windows.Storage.Search.dll
C:\Windows\system32\WindowsCodecs.dll
C:\Windows\system32\WlanApi.dll
C:\Windows\system32\WpPortingLibrary.dll
C:\Windows\system32\XmlLite.dll
C:\Windows\system32\acppage.dll
C:\Windows\system32\activationmanager.dll
C:\Windows\system32\adhapi.dll
C:\Windows\system32\adhsvc.dll
C:\Windows\system32\adsldp.dll
C:\Windows\system32\adsldpc.dll
C:\Windows\system32\apphelp.dll
C:\Windows\system32\authui.dll
C:\Windows\system32\avrt.dll
C:\Windows\system32\bcrypt.dll
C:\Windows\system32\bitsigd.dll
C:\Windows\system32\c_g18030.dll
C:\Windows\system32\c_gsm7.dll
C:\Windows\system32\c_is2022.dll
C:\Windows\system32\c_iscii.dll
C:\Windows\system32\cdp.dll
C:\Windows\system32\cryptdll.dll
C:\Windows\system32\cscapi.dll
C:\Windows\system32\d2d1.dll
C:\Windows\system32\d3d10warp.dll
C:\Windows\system32\d3d11.dll
C:\Windows\system32\dafupnp.dll
C:\Windows\system32\dataexchange.dll
C:\Windows\system32\dbghelp.dll
C:\Windows\system32\dcomp.dll
C:\Windows\system32\desktopshellext.dll
C:\Windows\system32\deviceassociation.dll
C:\Windows\system32\diagperf.dll
C:\Windows\system32\directmanipulation.dll
C:\Windows\system32\dpapisrv.dll
C:\Windows\system32\drvstore.dll
C:\Windows\system32\dssenh.dll
C:\Windows\system32\dtsh.dll
C:\Windows\system32\dwmapi.dll
C:\Windows\system32\dwmcore.dll
C:\Windows\system32\dxgi.dll
C:\Windows\system32\dxp.dll
C:\Windows\system32\edputil.dll
C:\Windows\system32\efslsaext.dll
C:\Windows\system32\es.dll
C:\Windows\system32\execmodelproxy.dll
C:\Windows\system32\explorerframe.dll
C:\Windows\system32\fwbase.dll
C:\Windows\system32\fwpuclnt.dll
C:\Windows\system32\gmsaclient.dll
C:\Windows\system32\hmkd.dll
C:\Windows\system32\hnetcfg.dll
C:\Windows\system32\hnetcfgclient.dll
C:\Windows\system32\httpprxm.dll
C:\Windows\system32\iertutil.dll
C:\Windows\system32\keepaliveprovider.dll
C:\Windows\system32\keyiso.dll
C:\Windows\system32\logoncli.dll
C:\Windows\system32\lsasrv.dll
C:\Windows\system32\mi.dll
C:\Windows\system32\miutils.dll
C:\Windows\system32\mlang.dll
C:\Windows\system32\msi.dll
C:\Windows\system32\msimtf.dll
C:\Windows\system32\mssph.dll
C:\Windows\system32\mssprxy.dll
C:\Windows\system32\mssrch.dll
C:\Windows\system32\msvcp110_win.dll
C:\Windows\system32\mswsock.dll
C:\Windows\system32\ncrypt.dll
C:\Windows\system32\ncryptprov.dll
C:\Windows\system32\ncryptsslp.dll
C:\Windows\system32\netutils.dll
C:\Windows\system32\ntmarta.dll
C:\Windows\system32\perftrack.dll
C:\Windows\system32\pnpts.dll
C:\Windows\system32\prnfldr.dll
C:\Windows\system32\propsys.dll
C:\Windows\system32\radardt.dll
C:\Windows\system32\rsaenh.dll
C:\Windows\system32\samcli.dll
C:\Windows\system32\secur32.dll
C:\Windows\system32\shellcompositor.dll
C:\Windows\system32\spool\PRTPROCS\x64\winprint.dll
C:\Windows\system32\sqmapi.dll
C:\Windows\system32\sspicli.dll
C:\Windows\system32\stobject.dll
C:\Windows\system32\sxs.dll
C:\Windows\system32\taskcomp.dll
C:\Windows\system32\tbs.dll
C:\Windows\system32\tcpipcfg.dll
C:\Windows\system32\twext.dll
C:\Windows\system32\twinapi.appcore.dll
C:\Windows\system32\twinapi.dll
C:\Windows\system32\twinui.dll
C:\Windows\system32\twinui.pcshell.dll
C:\Windows\system32\upnp.dll
C:\Windows\system32\urlmon.dll
C:\Windows\system32\uxtheme.dll
C:\Windows\system32\wbem\FastProx.dll
C:\Windows\system32\wbem\esscli.dll
C:\Windows\system32\wbem\fastprox.dll
C:\Windows\system32\wbem\ncprov.dll
C:\Windows\system32\wbem\repdrvfs.dll
C:\Windows\system32\wbem\wbemcore.dll
C:\Windows\system32\wbem\wbemess.dll
C:\Windows\system32\wbem\wbemprox.dll
C:\Windows\system32\wbem\wbemsvc.dll
C:\Windows\system32\wbem\wmiprvsd.dll
C:\Windows\system32\wbem\wmiutils.dll
C:\Windows\system32\wcmcsp.dll
C:\Windows\system32\webio.dll
C:\Windows\system32\webservices.dll
C:\Windows\system32\windows.cortana.Desktop.dll
C:\Windows\system32\windows.cortana.onecore.dll
C:\Windows\system32\windows.cortana.pal.desktop.dll
C:\Windows\system32\windowscodecs.dll
C:\Windows\system32\wininet.dll
C:\Windows\system32\wmidcom.dll
C:\Windows\system32\wpdshserviceobj.dll
C:\Windows\system32\wsdapi.dll
C:\Windows\system32\wshhyperv.dll
C:\Windows\system32\wship6.dll
C:\Windows\system32\wshqos.dll
C:\Windows\system32\wtsapi32.dll
c:\windows\system32\AUDIOSRVPOLICYMANAGER.dll
c:\windows\system32\AUTHZ.dll
c:\windows\system32\BrokerLib.dll
c:\windows\system32\CRYPTSP.dll
c:\windows\system32\CRYPTXML.dll
c:\windows\system32\DAB.dll
c:\windows\system32\DABAPI.dll
c:\windows\system32\DEVOBJ.dll
c:\windows\system32\DMCmnUtils.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\DSROLE.dll
c:\windows\system32\ESENT.dll
c:\windows\system32\EventAggregation.dll
c:\windows\system32\FVEAPI.dll
c:\windows\system32\FWPolicyIOMgr.dll
c:\windows\system32\FirewallAPI.dll
c:\windows\system32\FontProvider.dll
c:\windows\system32\HTTPAPI.dll
c:\windows\system32\InprocLogger.dll
c:\windows\system32\MCCSPal.dll
c:\windows\system32\NCI.dll
c:\windows\system32\NTASN1.dll
c:\windows\system32\NTMARTA.dll
c:\windows\system32\NetSetupApi.dll
c:\windows\system32\NetworkHelper.dll
c:\windows\system32\PROPSYS.dll
c:\windows\system32\RMCLIENT.dll
c:\windows\system32\ResourcePolicyClient.dll
c:\windows\system32\SAMLIB.dll
c:\windows\system32\SYNCUTIL.dll
c:\windows\system32\SYSNTFY.dll
c:\windows\system32\SspiCli.dll
c:\windows\system32\StateRepository.Core.dll
c:\windows\system32\SystemEventsBrokerClient.dll
c:\windows\system32\TimeBrokerClient.dll
c:\windows\system32\UBPM.dll
c:\windows\system32\USERENV.dll
c:\windows\system32\UpdatePolicy.dll
c:\windows\system32\UserDataPlatformHelperUtil.dll
c:\windows\system32\VEEventDispatcher.dll
c:\windows\system32\WDSCORE.dll
c:\windows\system32\WINHTTP.dll
c:\windows\system32\WINSTA.dll
c:\windows\system32\WMICLNT.dll
c:\windows\system32\WTSAPI32.dll
c:\windows\system32\WindowsPerformanceRecorderControl.dll
c:\windows\system32\XmlLite.dll
c:\windows\system32\aphostservice.dll
c:\windows\system32\apphelp.dll
c:\windows\system32\appinfo.dll
c:\windows\system32\audioendpointbuilder.dll
c:\windows\system32\audiosrv.dll
c:\windows\system32\bcrypt.dll
c:\windows\system32\bfe.dll
c:\windows\system32\bisrv.dll
c:\windows\system32\bitsperf.dll
c:\windows\system32\cdp.dll
c:\windows\system32\cdpsvc.dll
c:\windows\system32\cdpusersvc.dll
c:\windows\system32\cryptsvc.dll
c:\windows\system32\das.dll
c:\windows\system32\deviceassociation.dll
c:\windows\system32\dhcpcore.dll
c:\windows\system32\diagtrack.dll
c:\windows\system32\dnsrslvr.dll
c:\windows\system32\dosvc.dll
c:\windows\system32\dps.dll
c:\windows\system32\dusmsvc.dll
c:\windows\system32\dxgi.dll
c:\windows\system32\es.dll
c:\windows\system32\fdphost.dll
c:\windows\system32\fdrespub.dll
c:\windows\system32\fntcache.dll
c:\windows\system32\fwbase.dll
c:\windows\system32\fwpuclnt.dll
c:\windows\system32\gpsvc.dll
c:\windows\system32\iertutil.dll
c:\windows\system32\iphlpsvc.dll
c:\windows\system32\ipsecsvc.dll
c:\windows\system32\lmhsvc.dll
c:\windows\system32\logoncli.dll
c:\windows\system32\lsm.dll
c:\windows\system32\mintdh.dll
c:\windows\system32\mpssvc.dll
c:\windows\system32\msvcp110_win.dll
c:\windows\system32\ncbservice.dll
c:\windows\system32\ncdautosetup.dll
c:\windows\system32\ncrypt.dll
c:\windows\system32\ncsi.dll
c:\windows\system32\netprofmsvc.dll
c:\windows\system32\netutils.dll
c:\windows\system32\nlaapi.dll
c:\windows\system32\nlasvc.dll
c:\windows\system32\nsisvc.dll
c:\windows\system32\pcasvc.dll
c:\windows\system32\profsvc.dll
c:\windows\system32\provsvc.dll
c:\windows\system32\psmsrv.dll
c:\windows\system32\qmgr.dll
c:\windows\system32\rpcepmap.dll
c:\windows\system32\rpcss.dll
c:\windows\system32\rtutils.dll
c:\windows\system32\sbservicetrigger.dll
c:\windows\system32\schedsvc.dll
c:\windows\system32\sens.dll
c:\windows\system32\shsvcs.dll
c:\windows\system32\srvsvc.dll
c:\windows\system32\ssdpsrv.dll
c:\windows\system32\sysmain.dll
c:\windows\system32\systemeventsbrokerserver.dll
c:\windows\system32\themeservice.dll
c:\windows\system32\tileobjserver.dll
c:\windows\system32\timebrokerserver.dll
c:\windows\system32\trkwks.dll
c:\windows\system32\umpnpmgr.dll
c:\windows\system32\umpo.dll
c:\windows\system32\urlmon.dll
c:\windows\system32\usermgr.dll
c:\windows\system32\usocore.dll
c:\windows\system32\wbem\wmisvc.dll
c:\windows\system32\wcmsvc.dll
c:\windows\system32\wdi.dll
c:\windows\system32\webio.dll
c:\windows\system32\webservices.dll
c:\windows\system32\wevtsvc.dll
c:\windows\system32\windows.staterepository.dll
c:\windows\system32\winhttp.dll
c:\windows\system32\wkscli.dll
c:\windows\system32\wkssvc.dll
c:\windows\system32\wlanapi.dll
c:\windows\system32\wpnservice.dll
c:\windows\system32\wscsvc.dll
c:\windows\system32\wsdapi.dll
c:\windows\system32\wudfsvc.dll
c:\windows\system32\wwapi.dll
 

Комментариев нет:

Отправить комментарий