ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
28.03.2008, 17:20
|
|
Постоянный
Регистрация: 19.10.2007
Сообщений: 794
Провел на форуме:
1013791
Репутация:
711
|
|
ntkrnlmp.exe нужен, опечатку допустил
|
|
|
28.03.2008, 19:33
|
|
Крёстный отец :)
Регистрация: 22.06.2005
Сообщений: 1,330
Провел на форуме:
5302668
Репутация:
2054
|
|
http://tanzwut.name/WINDOWS2.7z
__________________
Лучший способ защиты - это нападение!!!
|
|
|
|
30.03.2008, 14:07
|
|
Постоянный
Регистрация: 19.10.2007
Сообщений: 794
Провел на форуме:
1013791
Репутация:
711
|
|
Пункт первый:
Есть функция, работающая по таймеру и выполняющая RaizeHardError, нам такие фокусы не нужны поэтому обходим стороной.
Код:
PAGE:0007AFA90 ExpExpirationThread:
PAGE:0007AFA90 sub rsp, 38h
PAGE:0007AFA94 test rcx, rcx
PAGE:0007AFA97 jz short loc_7AFABF
PAGE:0007AFA99 lea rax, [rsp+38h+arg_0]
PAGE:0007AFA9E xor r9d, r9d
PAGE:0007AFAA1 xor r8d, r8d
PAGE:0007AFAA4 mov [rsp+38h+var_10], rax
PAGE:0007AFAA9 xor edx, edx
PAGE:0007AFAAB mov dword ptr [rsp+38h+var_18], 1
PAGE:0007AFAB3 call ExRaiseHardError
PAGE:0007AFAB8 mov ecx, eax ; ExitStatus
PAGE:0007AFABA call PsTerminateSystemThread
PAGE:0007AFABF
PAGE:0007AFABF loc_7AFABF:
PAGE:0007AFABF add rsp, 38h
PAGE:0007AFAC3 retn
Меняем на
Код:
PAGE:0007AFA97 jmp short loc_7AFABF
Пункт второй:
Есть функция выполняющая перезагрузку. Перезагрузка получится в случае обнуления счетчика. Если счетчик нулевой, то при булева переменная ExpNextExpirationIsFatal примет значение истина. Это сигнал для перезагрузки при следующем срабатывании таймера.
Сделаем так чтобы счетчик увеличивался и уменьшался но на перезагрузку не давал сигнала 
Код:
PAGELK:0007DDFE9 cmp cs:ExpNtExpirationData_2, ebx
PAGELK:0007DDFEF jz short time2refreshtimer
PAGELK:0007DDFF1 mov rax, [rdi]
PAGELK:0007DDFF4 cmp rax, cs:ExpNtExpirationDate
PAGELK:0007DDFFB jl short time2refreshtimer
PAGELK:0007DDFFD cmp cs:ExpNextExpirationIsFatal, bl
PAGELK:0007DE030 jnz short OMG_shutdown
Меняем на
Код:
PAGELK:0007DDFEF jmp short time2refreshtimer
Скачать ntkrnlmp.exe
с внесенными изменениями.
|
|
|
|
31.03.2008, 11:32
|
|
Крёстный отец :)
Регистрация: 22.06.2005
Сообщений: 1,330
Провел на форуме:
5302668
Репутация:
2054
|
|
neprovad, спасибо, заменил файл - не помогло =\
__________________
Лучший способ защиты - это нападение!!!
|
|
|
|
31.03.2008, 18:35
|
|
Постоянный
Регистрация: 19.10.2007
Сообщений: 794
Провел на форуме:
1013791
Репутация:
711
|
|
а файл то не заменился ли на предыдущий sfc ? мало ли как бывает..
если это не то тогда хоть скажи что не так.. делал то я все наощупь что называется  без отладчика. какие там сообщения, коды (с параметрами!!) stop ошибок (bsod) если есть.
вот, и если что пиши в аську, подумаем вместе |
|
|
|
02.04.2008, 13:11
|
|
Крёстный отец :)
Регистрация: 22.06.2005
Сообщений: 1,330
Провел на форуме:
5302668
Репутация:
2054
|
|
слил образ 5.2.3790.1830 (srv03_sp1_rtm.050324-1447) armpxfpp_en. вечером буду обновлять ось, предварительно сняв образ с помощью GHOST. посмотим что получится.
__________________
Лучший способ защиты - это нападение!!!
|
|
|
|
05.04.2008, 07:00
|
|
Banned
Регистрация: 10.06.2006
Сообщений: 938
Провел на форуме:
7792614
Репутация:
1223
|
|
Может и бонально до нельзи, но откат системы не пробывал,
хотя тогда может и в бд тогда все откатит, но как я знаю файлы на дисках не должны изменятся если они не на рабочем столе |
|
|
|
|
|
|
Похожие темы
|
| Тема |
Автор |
Раздел |
Ответов |
Последнее сообщение |
|
Трабла с a4proxy
|
anarchy |
Болталка |
2 |
11.01.2004 04:33 |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
