Jump to content
Sign in to follow this  
NickM82

Win 8.1 x64 ExecuteStdScr(1)

Recommended Posts

Здравствуйте.

 

После выполнения ExecuteStdScr(1) последующий вызов справки-помощи приводит к крешу AVZ, так задумано?

Share this post


Link to post
Здравствуйте.

 

После выполнения ExecuteStdScr(1) последующий вызов справки-помощи приводит к крешу AVZ, так задумано?

Имеется в виду справка, вызываемая в AVZ по F1 ? В общем случае такое вполне может быть, является следствием снятия перехватов, которое делает скрипт №1.

На какой версии ОС такое проявилось ?

Что в ходе работы ExecuteStdScr(1) записалось в лог ?

Share this post


Link to post
Имеется в виду справка, вызываемая в AVZ по F1 ? В общем случае такое вполне может быть, является следствием снятия перехватов, которое делает скрипт №1.

На какой версии ОС такое проявилось ?

Что в ходе работы ExecuteStdScr(1) записалось в лог ?

 

Да, Олег, справка AVZ по F1 или через ссылки описаний пунктов.

Win 8.1 Pro x64

 

Понятно, что следствие перехватов, Я было полагал вдруг AVZ Сам Себя не перехватывает... хотя конечно глупо было так полагать.

Да, после снятия перехватов скопировать лог через gui невозможно, программа крешится, но уже с окнами ошибок.

 

В Моем случае записалось такое:

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .rdata

Функция kernel32.dll:ReadConsoleInputExA (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->76464F8E->76A61A70

Перехватчик kernel32.dll:ReadConsoleInputExA (1095) нейтрализован

Функция kernel32.dll:ReadConsoleInputExW (1096) перехвачена, метод ProcAddressHijack.GetProcAddress ->76464FC1->76A61AA0

Перехватчик kernel32.dll:ReadConsoleInputExW (1096) нейтрализован

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Функция ntdll.dll:NtCreateFile (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->772ECE80->726CB720

Перехватчик ntdll.dll:NtCreateFile (268) нейтрализован

Функция ntdll.dll:NtSetInformationFile (549) перехвачена, метод ProcAddressHijack.GetProcAddress ->772ECBA0->726CB540

Перехватчик ntdll.dll:NtSetInformationFile (549) нейтрализован

Функция ntdll.dll:NtSetValueKey (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->772ECF30->726CC900

Перехватчик ntdll.dll:NtSetValueKey (580) нейтрализован

Функция ntdll.dll:ZwCreateFile (1649) перехвачена, метод ProcAddressHijack.GetProcAddress ->772ECE80->726CB720

Перехватчик ntdll.dll:ZwCreateFile (1649) нейтрализован

Функция ntdll.dll:ZwSetInformationFile (1928) перехвачена, метод ProcAddressHijack.GetProcAddress ->772ECBA0->726CB540

Перехватчик ntdll.dll:ZwSetInformationFile (1928) нейтрализован

Функция ntdll.dll:ZwSetValueKey (1959) перехвачена, метод ProcAddressHijack.GetProcAddress ->772ECF30->726CC900

Перехватчик ntdll.dll:ZwSetValueKey (1959) нейтрализован

Анализ user32.dll, таблица экспорта найдена в секции .text

Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->766A8DC0->726CB490

Перехватчик user32.dll:CallNextHookEx (1531) нейтрализован

Функция user32.dll:SetWindowsHookExW (2303) перехвачена, метод ProcAddressHijack.GetProcAddress ->766B5FA0->72720DB0

Перехватчик user32.dll:SetWindowsHookExW (2303) нейтрализован

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Функция advapi32.dll:SystemFunction001 (1760) перехвачена, метод ProcAddressHijack.GetProcAddress ->76E18DC1->74AA4B90

Перехватчик advapi32.dll:SystemFunction001 (1760) нейтрализован

Функция advapi32.dll:SystemFunction002 (1761) перехвачена, метод ProcAddressHijack.GetProcAddress ->76E18DDD->74AA3280

Перехватчик advapi32.dll:SystemFunction002 (1761) нейтрализован

Функция advapi32.dll:SystemFunction003 (1762) перехвачена, метод ProcAddressHijack.GetProcAddress ->76E18DF9->74AA3500

Перехватчик advapi32.dll:SystemFunction003 (1762) нейтрализован

Функция advapi32.dll:SystemFunction004 (1763) перехвачена, метод ProcAddressHijack.GetProcAddress ->76E18E15->74AA4840

Перехватчик advapi32.dll:SystemFunction004 (1763) нейтрализован

Функция advapi32.dll:SystemFunction005 (1764) перехвачена, метод ProcAddressHijack.GetProcAddress ->76E18E31->74AA4990

Перехватчик advapi32.dll:SystemFunction005 (1764) нейтрализован

Функция advapi32.dll:SystemFunction034 (1793) перехвачена, метод ProcAddressHijack.GetProcAddress ->76E190F5->74AA33F0

Перехватчик advapi32.dll:SystemFunction034 (1793) нейтрализован

Функция advapi32.dll:SystemFunction036 (1795) перехвачена, метод ProcAddressHijack.GetProcAddress ->76E1912E->74AA1280

Перехватчик advapi32.dll:SystemFunction036 (1795) нейтрализован

Функция advapi32.dll:SystemFunction040 (1796) перехвачена, метод ProcAddressHijack.GetProcAddress ->76E1914A->74AA1340

Перехватчик advapi32.dll:SystemFunction040 (1796) нейтрализован

Функция advapi32.dll:SystemFunction041 (1797) перехвачена, метод ProcAddressHijack.GetProcAddress ->76E19166->74AA13A0

Перехватчик advapi32.dll:SystemFunction041 (1797) нейтрализован

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Ошибка - не найден файл (C:\SystemRoot\system32\ntoskrnl.exe)

1.4 Поиск маскировки процессов и драйверов

Проверка не производится, так как не установлен драйвер мониторинга AVZPM

1.5 Проверка обработчиков IRP

Ошибка загрузки драйвера - проверка прервана [C000036B]

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.