XP x64 evaluation period - Трабла.

Discussion in 'Безопасность и Анонимность' started by TANZWUT, 24 Mar 2008.

Page 2 of 2
  1. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    899
    Likes Received:
    274
    Reputations:
    59
    Пункт первый:
    Есть функция, работающая по таймеру и выполняющая RaizeHardError, нам такие фокусы не нужны поэтому обходим стороной.
    Code:
    PAGE:0007AFA90 ExpExpirationThread:
PAGE:0007AFA90  sub  rsp, 38h
PAGE:0007AFA94  test rcx, rcx
PAGE:0007AFA97  jz   short loc_7AFABF
PAGE:0007AFA99  lea  rax, [rsp+38h+arg_0]
PAGE:0007AFA9E  xor  r9d, r9d
PAGE:0007AFAA1  xor  r8d, r8d
PAGE:0007AFAA4  mov  [rsp+38h+var_10], rax
PAGE:0007AFAA9  xor  edx, edx
PAGE:0007AFAAB  mov  dword ptr [rsp+38h+var_18], 1
PAGE:0007AFAB3  call ExRaiseHardError
PAGE:0007AFAB8  mov  ecx, eax ; ExitStatus
PAGE:0007AFABA  call PsTerminateSystemThread
PAGE:0007AFABF
PAGE:0007AFABF  loc_7AFABF:
PAGE:0007AFABF  add  rsp, 38h
PAGE:0007AFAC3  retn
    Меняем на
    Code:
    PAGE:0007AFA97  jmp  short loc_7AFABF
    Пункт второй:
    Есть функция выполняющая перезагрузку. Перезагрузка получится в случае обнуления счетчика. Если счетчик нулевой, то при булева переменная ExpNextExpirationIsFatal примет значение истина. Это сигнал для перезагрузки при следующем срабатывании таймера.
    Сделаем так чтобы счетчик увеличивался и уменьшался но на перезагрузку не давал сигнала :cool:

    Code:
    PAGELK:0007DDFE9   cmp  cs:ExpNtExpirationData_2, ebx
PAGELK:0007DDFEF   jz      short time2refreshtimer
PAGELK:0007DDFF1   mov  rax, [rdi]
PAGELK:0007DDFF4   cmp  rax, cs:ExpNtExpirationDate
PAGELK:0007DDFFB   jl       short time2refreshtimer
PAGELK:0007DDFFD   cmp  cs:ExpNextExpirationIsFatal, bl
PAGELK:0007DE030   jnz   short OMG_shutdown
    Меняем на
    Code:
    PAGELK:0007DDFEF   jmp  short time2refreshtimer
    Скачать ntkrnlmp.exe
    с внесенными изменениями.
     
    #21 neprovad, 30 Mar 2008
  2. TANZWUT

    TANZWUT Крёстный отец :)

    Joined:
    22 Jun 2005
    Messages:
    1,474
    Likes Received:
    716
    Reputations:
    744
    neprovad, спасибо, заменил файл - не помогло =\
     
    _________________________
    #22 TANZWUT, 31 Mar 2008
  3. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    899
    Likes Received:
    274
    Reputations:
    59
    а файл то не заменился ли на предыдущий sfc ? мало ли как бывает..
    если это не то тогда хоть скажи что не так.. делал то я все наощупь что называется :) без отладчика. какие там сообщения, коды (с параметрами!!) stop ошибок (bsod) если есть.
    вот, и если что пиши в аську, подумаем вместе
     
    #23 neprovad, 31 Mar 2008
  4. TANZWUT

    TANZWUT Крёстный отец :)

    Joined:
    22 Jun 2005
    Messages:
    1,474
    Likes Received:
    716
    Reputations:
    744
    слил образ 5.2.3790.1830 (srv03_sp1_rtm.050324-1447) armpxfpp_en. вечером буду обновлять ось, предварительно сняв образ с помощью GHOST. посмотим что получится.
     
    _________________________
    #24 TANZWUT, 2 Apr 2008
  5. Petr

    Petr Banned

    Joined:
    10 Jun 2006
    Messages:
    642
    Likes Received:
    369
    Reputations:
    -13
    Может и бонально до нельзи, но откат системы не пробывал,
    хотя тогда может и в бд тогда все откатит, но как я знаю файлы на дисках не должны изменятся если они не на рабочем столе :)
     
    #25 Petr, 5 Apr 2008
(You must log in or sign up to post here.)
Page 2 of 2
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.