Написал я вирус - ничего экстраординарного: дописывает себя к последней секции, абсолютно стандратно ищет базу ntdll (да, на kernel я забил), потом лезет в ринг0 патчить ядро - то есть делает кучу однозначно "вирусных" вещей.
Компилировал я это дело в экзешник без импортов (а на кой они мне? ntdll и так подгружается ведь). И что же - AVP (server, 4.0.6.0, базы последние) не ругается на него! А если кого заразить - то тут он сразу кричать начинает :)
Это я все к чему - неужто AVP действительно забивает на проверку PE без импортов? Или это у меня экзешник уникальный получился? :)))

Интересно, а будет ли запускаться под НТ файл без импорта? Под win2k однозначно не будет.

У меня сейчас стоит Win2003 RTM - все работает :) Под XP тоже вроде работало. А точно под W2K загрузчик ругацца будет? Хотя даже под 2003-м есть небольшая проблема - не создается дефолтная куча процесса. Поле в PEB == 0.

Хмм... Под XP, без импорта?.. Не-а..
Вроде не запускается.

Да, такой файл будет признан ядром, но его не пропустит ntdll.dll.

этот файл без импортов работает в XP и в 9х, при этом загружаются kernel32 и user32
исходник такой:

.386
.model flat
.code
start:
ret
end start


164306079__noimp.exe

в 2k запускаться не будет!

Grenader
Слушай, мне просто интересно как ты под NT из r3 в r0 попал ???? Просвети идиота !!! Плиз.

CARDINAL
да все просто. открываешь секцию \Device\PhysicalMemory, правишь GDT, описывая в ней callgate с нужными привелегиями, далее - far call с полученным селектором. все - мы в ринг0 :) могу дать более детальное описание и исходник, если хочешь. хотя эта тема на форуме поднималась уже. в любом случае, нужны админские права (что бы разрешить запись в физическую память)