Контрразведка с soft-ice в руках
Контрразведка с soft-ice в рукахВведение
Время тоже оставляет отпечатки
поиск файлов, созданных
исследование даты создания файлов при помощи FAR'а
Дерево процессов
soft-ice показывает процесс sysrtl, отсутствующий в "Диспетчере Задач"
Допрос потоков
карта памяти "Блокнота", отображенная отладчиком OllyDbg
карта памяти "Блокнота", отображенная утилитой PE-TOOLS
Листинг1 исходный код демонстрационной
Листинг2 информация о потоках, сообщенная soft-ice (приводится в сокращенном виде)
Process Explorer от Марка
Листинг3 информация о четырех потоках, выданная OllyDbg
Листинг4 код потока 558h, находящегося в пределах страничного имиджа
Листинг5 на дне пользовательского
Листинг6 на дне пользовательского
Листинг7 карта памяти процесса
Листинг8 поток 578h хранит свой стартовый адрес не в третьем, а во втором двойном слове!
содержимое дна стека
Восстановление SST
Листинг 9 функция ZwQuerySystemInformation
механизм реализации системных вызовов
Листинг10 протокол работы с soft-ice, демонстрирующий получение адреса системного сервиса 97h
Листинг11 копия таблицы системных вызовом, хранящаяся внутри NTOSKRNL.EXE
Листинг12 неинициализированная SDT-таблица, хранящаяся в NTOSKRNL.EXE
поиск SST в файле NTOSKRNL.EXE по перекрестным ссылкам
и результат ее работы на зараженной малварью машине
Листинг13 просмотр IDT в soft-ice
Заключение
Врезка ссылки на программы, упомянутые в статье
Содержание раздела
