-
Junior Member
- Вес репутации
- 36
Вопрос знатокам - как сохранить и декомпилировать "красные адреса" из отчета AVZ
Добрый день, форумчане
вопрос в следующем:
например имеем сообщение
Функция kernel32.dll:ReadConsoleInputExA (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->75554F8E->75851AD0
Что это означает "другими словами" - Стоит перехватчик на методе ProcAddressHijack.GetProcAddress - как его найти?
Сразу вопрос по инструментарию:
как проще посмотреть на зверя, что выбрать
idapro
ProcMon
Sysinternals ProcessMonitor
OllyDbg
или например apimonitor-x64.exe от (rohitab.com)
конечная цель - точно снять дамп, и найти точную позицию согласно отчета AVZ, далее грузим дамп в IdaPro
где лучше черпать инфо по Windows 8.1 например, самую нужную, возможно по недокументированным функциям.. не только MSDN
есть ли в сети что-то подобное PHP.NET но для дизассемблирования?
Возможно мой вопрос мой странный, обьясню
я "дедушка" в лет 12-15назад работал в Ida - но еще в 32х битных древних windows,
а сейчас уже x64.. и новая адресация и инструментарий.. потом ушел в совсем другую область..
буду очень благодарен, у меня "ломка", есть свободное время и хочется декодить))))
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
А почему Вы решили, что это обязательно к какому-то зверьку относится? Перехватывать функции может как система, так и легитимные программы.
-
Ответить с цитированием
