|
| Посл.отвђт | Сообщенiе |
|
|
Дата: Май 5, 2004 13:24:03 Собсно такой прикол... включаеш bpint 3, включаеш !protect int3 on, встречаеш backdoor mov si, 4647h mov di, 4A4Dh int 3... и привет скан_диск :) Вырубаеш либо !protect либо bpint 3 - все нормально... А я уж было думал, что новую вичу придумали, как определить, что включено bpint 3. PS\2: IceExt 0.62; DS 3.0 (build 1126); XP 5.1 (build 2600) SP 0; |
|
|
Дата: Май 5, 2004 13:25:04 Так, между прочим - ш0то ни хЭ эта sync.exe не помогает, видимо заточена под 2k. Т.е. если запустить ее и сразу нажать резет, то скан_диска действительно нет, но если хоть непродолжительное время посидеть в сосульке, а потом вылететь по фаулту - то скан_диск тут как тут... |
|
|
Дата: Май 5, 2004 17:47:18 В общем, стоит расценивать такое поведение как фичу. Если включен !protect INT3 on, то IceExt просто не отдает управление айсу из обработчика INT 3, если в регистрах содержатся MAGIC VALUES. А в данном случае, при ручной трассировке программы такое положение вещей, очевидно, приводит к немедленному ребуту, т.к. айс все-таки надеется на обработчик INT3 при трассировке проги. На данный момент солюшн состоит в том, чтобы отключась !PROTECT INT3 OFF при ручной трассировке. Возможно, однако, имеет смысл делать это автоматически.. Подумаем. |
|
|
Дата: Май 7, 2004 02:15:58 Sten А можно ли так чтобы IceExt выводило лог о всех(!) попытках определения наличия сосульки (включая разнообразные SEH'ы), т.к. вот, например, о данном бэкдоре ни словечка - а, их там было целых пять... и было бы совсем круто, если бы еще и eip показывало... |