Win7下过盛*大Hack*Shield的部分驱动保护

最新推荐文章于 2022-10-07 14:06:40 发布
最新推荐文章于 2022-10-07 14:06:40 发布
阅读量5.9k 收藏 2
点赞数
分类专栏: 编程 C/C++ ASM 驱动。 文章标签: Windows 7 CC++ asm 汇编语言 C
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/o6108/article/details/9151375
版权
C/C++ 同时被 3 个专栏收录
3 篇文章 0 订阅
订阅专栏
ASM
3 篇文章 0 订阅
订阅专栏
编程
2 篇文章 0 订阅
订阅专栏

在Win7下很多XP的驱动都不适用了!前几个月研究了一下盛*大游戏的泡泡*堂的Hack*Shield驱动保护发现Hook了十多个内核函数,Ring 3和 Ring 0的双重保护,同时加了Themida的壳。
现在暂时发现钩住了以下函数:

hook NtReadVirtualMemory

hook NtWriteVirtualMemory

Hook NtClose

Hook NtProtectVirtualMemory

Hook NtGetContextThread

Hook  PsSuspendThread


其中HOOK NtGetContextThread中用了两个深层钩子,恢复起来有些麻烦,但还是给恢复了,ring 3下发现钩住了以下函数:

[*]len(1) ntdll.dll->DbgBreakPoint  0x7777410C->_  inline  C3  CC
[*]len(5) ntdll.dll->DbgUiRemoteBreakin  0x777DF17D->0x7779E342[C:\Windows\SYSTEM32\ntdll.dll]  inline  E9 C0 F1 FB FF  6A 08 68 78 07
[*]len(1) ntdll.dll->DbgUserBreakPoint  0x7777410C->_  inline  C3  CC
len(5) ntdll.dll->NtProtectVirtualMemory  0x77785F18->0x056920F0[F:\泡泡堂\HackShield\EhSvc.dll]  inline  E9 D3 C1 F0 8D  B8 D7 00 00 00
len(5) ntdll.dll->ZwProtectVirtualMemory  0x77785F18->0x056920F0[F:\泡泡堂\HackShield\EhSvc.dll]  inline  E9 D3 C1 F0 8D  B8 D7 00 00 00
f04d78a5b6d1.tmp->ntdll.dll:RtlUnicodeStringToAnsiString  0x77799E1E->0x6A789E1E[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  1E 9E 78 6A  1E 9E 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlAnsiStringToUnicodeString  0x777956BF->0x6A7856BF[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  BF 56 78 6A  BF 56 79 77
f04d78a5b6d1.tmp->ntdll.dll:_vsnwprintf  0x777ACA7A->0x6A79CA7A[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  7A CA 79 6A  7A CA 7A 77
[*]f04d78a5b6d1.tmp->ntdll.dll:memset  0x77775300->0x6A765300[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  00 53 76 6A  00 53 77 77
f04d78a5b6d1.tmp->ntdll.dll:RtlFreeAnsiString  0x77793296->0x6A783296[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  96 32 78 6A  96 32 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlFreeHeap  0x77792BFA->0x6A782BFA[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  FA 2B 78 6A  FA 2B 79 77
f04d78a5b6d1.tmp->ntdll.dll:RtlAllocateHeap  0x77792D66->0x6A782D66[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  66 2D 78 6A  66 2D 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:CsrVerifyRegion  0x777DEAA8->0x6A7CEAA8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  A8 EA 7C 6A  A8 EA 7D 77
f04d78a5b6d1.tmp->ntdll.dll:CsrClientConnectToServer  0x777A8AEB->0x6A798AEB[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  EB 8A 79 6A  EB 8A 7A 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlCreateTagHeap  0x777A7DCD->0x6A797DCD[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  CD 7D 79 6A  CD 7D 7A 77
f04d78a5b6d1.tmp->ntdll.dll:NtQueryInformationProcess  0x77786048->0x6A776048[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  48 60 77 6A  48 60 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtSetInformationProcess  0x77786678->0x6A776678[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  78 66 77 6A  78 66 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtClose  0x777854C8->0x6A7754C8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  C8 54 77 6A  C8 54 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtSetInformationFile  0x77786638->0x6A776638[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  38 66 77 6A  38 66 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtCreateIoCompletion  0x777855D8->0x6A7755D8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  D8 55 77 6A  D8 55 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtSetIoCompletion  0x777866F8->0x6A7766F8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  F8 66 77 6A  F8 66 78 77
f04d78a5b6d1.tmp->ntdll.dll:RtlSetLastWin32Error  0x7779308B->0x6A78308B[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  8B 30 78 6A  8B 30 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:SbSelectProcedure  0x77797E04->0x6A787E04[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  04 7E 78 6A  04 7E 79 77
f04d78a5b6d1.tmp->ntdll.dll:NtRemoveIoCompletion  0x77786398->0x6A776398[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  98 63 77 6A  98 63 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlDeactivateActivationContextUnsafeFast  0x77792FF3->0x6A782FF3[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  F3 2F 78 6A  F3 2F 79 77
f04d78a5b6d1.tmp->ntdll.dll:NtRemoveIoCompletionEx  0x777863A8->0x6A7763A8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  A8 63 77 6A  A8 63 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlActivateActivationContextUnsafeFast  0x77792F7D->0x6A782F7D[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  7D 2F 78 6A  7D 2F 79 77
f04d78a5b6d1.tmp->ntdll.dll:NtCreateNamedPipeFile  0x77785658->0x6A775658[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  58 56 77 6A  58 56 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtOpenFile  0x77785CD8->0x6A775CD8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  D8 5C 77 6A  D8 5C 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtWaitForSingleObject  0x77786A18->0x6A776A18[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  18 6A 77 6A  18 6A 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtFsControlFile  0x77785A08->0x6A775A08[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  08 5A 77 6A  08 5A 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtCreateEvent  0x777855A8->0x6A7755A8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  A8 55 77 6A  A8 55 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtQueryInformationFile  0x77786018->0x6A776018[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  18 60 77 6A  18 60 78 77
f04d78a5b6d1.tmp->ntdll.dll:_allmul  0x777744E0->0x6A7644E0[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  E0 44 76 6A  E0 44 77 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlSetDaclSecurityDescriptor  0x777A30D4->0x6A7930D4[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  D4 30 79 6A  D4 30 7A 77
f04d78a5b6d1.tmp->ntdll.dll:RtlCreateSecurityDescriptor  0x777A12B9->0x6A7912B9[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  B9 12 79 6A  B9 12 7A 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlDefaultNpAcl  0x777B5D83->0x6A7A5D83[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  83 5D 7A 6A  83 5D 7B 77
f04d78a5b6d1.tmp->ntdll.dll:RtlDosPathNameToNtPathName_U  0x777A2766->0x6A792766[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  66 27 79 6A  66 27 7A 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlAppendUnicodeStringToString  0x7779724E->0x6A78724E[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  4E 72 78 6A  4E 72 79 77
f04d78a5b6d1.tmp->ntdll.dll:_wcsnicmp  0x7779588C->0x6A78588C[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  8C 58 78 6A  8C 58 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlPrefixString  0x777BAE02->0x6A7AAE02[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  02 AE 7A 6A  02 AE 7B 77
f04d78a5b6d1.tmp->ntdll.dll:RtlInitUnicodeString  0x77774180->0x6A764180[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  80 41 76 6A  80 41 77 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlFreeUnicodeString  0x77793296->0x6A783296[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  96 32 78 6A  96 32 79 77
f04d78a5b6d1.tmp->ntdll.dll:RtlDetermineDosPathNameType_U  0x77798607->0x6A788607[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  07 86 78 6A  07 86 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlCreateUnicodeString  0x777A62F9->0x6A7962F9[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  F9 62 79 6A  F9 62 7A 77
f04d78a5b6d1.tmp->ntdll.dll:memcpy  0x77774C80->0x6A764C80[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  80 4C 76 6A  80 4C 77 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtDeviceIoControlFile  0x77785858->0x6A775858[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  58 58 77 6A  58 58 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtCreateFile  0x777855C8->0x6A7755C8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  C8 55 77 6A  C8 55 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlTimeToTimeFields  0x7779AB3D->0x6A78AB3D[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  3D AB 78 6A  3D AB 79 77
f04d78a5b6d1.tmp->ntdll.dll:RtlTimeFieldsToTime  0x7779A90D->0x6A78A90D[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  0D A9 78 6A  0D A9 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtQuerySystemInformation  0x777861F8->0x6A7761F8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  F8 61 77 6A  F8 61 78 77
f04d78a5b6d1.tmp->ntdll.dll:RtlAcquirePrivilege  0x777507EA->0x6A7407EA[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  EA 07 74 6A  EA 07 75 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlInitializeSRWLock  0x77799911->0x6A789911[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  11 99 78 6A  11 99 79 77
f04d78a5b6d1.tmp->ntdll.dll:RtlReleaseSRWLockExclusive  0x777932B4->0x6A7832B4[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  B4 32 78 6A  B4 32 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlAcquireSRWLockExclusive  0x777932DE->0x6A7832DE[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  DE 32 78 6A  DE 32 79 77
f04d78a5b6d1.tmp->ntdll.dll:RtlCutoverTimeToSystemTime  0x77757F66->0x6A747F66[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  66 7F 74 6A  66 7F 75 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlReleaseSRWLockShared  0x77793367->0x6A783367[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  67 33 78 6A  67 33 79 77
f04d78a5b6d1.tmp->ntdll.dll:RtlAcquireSRWLockShared  0x7779331E->0x6A78331E[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  1E 33 78 6A  1E 33 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlReleasePrivilege  0x77750999->0x6A740999[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  99 09 74 6A  99 09 75 77
f04d78a5b6d1.tmp->ntdll.dll:NtSetSystemTime  0x777867A8->0x6A7767A8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  A8 67 77 6A  A8 67 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlUnicodeStringToInteger  0x777B03C5->0x6A7A03C5[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  C5 03 7A 6A  C5 03 7B 77
f04d78a5b6d1.tmp->ntdll.dll:wcschr  0x77797320->0x6A787320[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  20 73 78 6A  20 73 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:wcscpy_s  0x777AA595->0x6A79A595[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  95 A5 79 6A  95 A5 7A 77
f04d78a5b6d1.tmp->ntdll.dll:RtlpCheckDynamicTimeZoneInformation  0x777582FD->0x6A7482FD[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  FD 82 74 6A  FD 82 75 77
[*]f04d78a5b6d1.tmp->ntdll.dll:_stricmp  0x777A52DF->0x6A7952DF[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  DF 52 79 6A  DF 52 7A 77
f04d78a5b6d1.tmp->ntdll.dll:_wcsicmp  0x77796EF1->0x6A786EF1[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  F1 6E 78 6A  F1 6E 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlDeregisterWaitEx  0x7775B6EE->0x6A74B6EE[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  EE B6 74 6A  EE B6 75 77
f04d78a5b6d1.tmp->ntdll.dll:RtlCreateTimerQueue  0x7775BCEF->0x6A74BCEF[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  EF BC 74 6A  EF BC 75 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtDelayExecution  0x777857C8->0x6A7757C8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  C8 57 77 6A  C8 57 78 77
f04d78a5b6d1.tmp->ntdll.dll:RtlCreateTimer  0x7775BB1F->0x6A74BB1F[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  1F BB 74 6A  1F BB 75 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlUpdateTimer  0x7774D862->0x6A73D862[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  62 D8 73 6A  62 D8 74 77
f04d78a5b6d1.tmp->ntdll.dll:RtlDeleteTimer  0x7775C3B2->0x6A74C3B2[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  B2 C3 74 6A  B2 C3 75 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlDeleteTimerQueueEx  0x77747722->0x6A737722[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  22 77 73 6A  22 77 74 77
f04d78a5b6d1.tmp->ntdll.dll:RtlRegisterWait  0x777593CF->0x6A7493CF[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  CF 93 74 6A  CF 93 75 77
[*]f04d78a5b6d1.tmp->ntdll.dll:wcsrchr  0x777988E9->0x6A7888E9[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  E9 88 78 6A  E9 88 79 77
f04d78a5b6d1.tmp->ntdll.dll:NtQueryValueKey  0x77786248->0x6A776248[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  48 62 77 6A  48 62 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtOpenKey  0x77785D08->0x6A775D08[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  08 5D 77 6A  08 5D 78 77
f04d78a5b6d1.tmp->ntdll.dll:RtlxAnsiStringToUnicodeSize  0x777EE4B5->0x6A7DE4B5[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  B5 E4 7D 6A  B5 E4 7E 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NlsMbCodePageTag  0x7781CC41->0x6A80CC41[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  41 CC 80 6A  41 CC 81 77
f04d78a5b6d1.tmp->ntdll.dll:RtlxOemStringToUnicodeSize  0x777EE4B5->0x6A7DE4B5[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  B5 E4 7D 6A  B5 E4 7E 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NlsMbOemCodePageTag  0x7781CC42->0x6A80CC42[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  42 CC 80 6A  42 CC 81 77
f04d78a5b6d1.tmp->ntdll.dll:RtlxUnicodeStringToOemSize  0x777EE490->0x6A7DE490[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  90 E4 7D 6A  90 E4 7E 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlxUnicodeStringToAnsiSize  0x777EE490->0x6A7DE490[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  90 E4 7D 6A  90 E4 7E 77
f04d78a5b6d1.tmp->ntdll.dll:LdrEnumerateLoadedModules  0x777A8C50->0x6A798C50[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  50 8C 79 6A  50 8C 7A 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtAllocateVirtualMemory  0x777852D8->0x6A7752D8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  D8 52 77 6A  D8 52 78 77
f04d78a5b6d1.tmp->ntdll.dll:_alloca_probe  0x777873A4->0x6A7773A4[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  A4 73 77 6A  A4 73 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlReleasePebLock  0x77798A5A->0x6A788A5A[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  5A 8A 78 6A  5A 8A 79 77
f04d78a5b6d1.tmp->ntdll.dll:RtlQueryEnvironmentVariable  0x777986EF->0x6A7886EF[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  EF 86 78 6A  EF 86 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlAcquirePebLock  0x77798A71->0x6A788A71[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  71 8A 78 6A  71 8A 79 77
f04d78a5b6d1.tmp->ntdll.dll:wcsncmp  0x7779891C->0x6A78891C[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  1C 89 78 6A  1C 89 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlUnicodeStringToOemString  0x7775EBAF->0x6A74EBAF[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  AF EB 74 6A  AF EB 75 77
f04d78a5b6d1.tmp->ntdll.dll:RtlOemStringToUnicodeString  0x7775EADD->0x6A74EADD[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  DD EA 74 6A  DD EA 75 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlRaiseException  0x777870A8->0x6A7770A8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  A8 70 77 6A  A8 70 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtDuplicateObject  0x77785898->0x6A775898[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  98 58 77 6A  98 58 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtQueryObject  0x77786128->0x6A776128[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  28 61 77 6A  28 61 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtSetInformationObject  0x77786668->0x6A776668[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  68 66 77 6A  68 66 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtQueryVolumeInformationFile  0x77786268->0x6A776268[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  68 62 77 6A  68 62 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtLockFile  0x77785B98->0x6A775B98[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  98 5B 77 6A  98 5B 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtUnlockFile  0x77786998->0x6A776998[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  98 69 77 6A  98 69 78 77
f04d78a5b6d1.tmp->ntdll.dll:RtlNtStatusToDosError  0x77793BF5->0x6A783BF5[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  F5 3B 78 6A  F5 3B 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtReadFile  0x777862B8->0x6A7762B8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  B8 62 77 6A  B8 62 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtWriteFile  0x77786A68->0x6A776A68[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  68 6A 77 6A  68 6A 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtCancelIoFileEx  0x77785488->0x6A775488[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  88 54 77 6A  88 54 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtReadFileScatter  0x777862C8->0x6A7762C8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  C8 62 77 6A  C8 62 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtWriteFileGather  0x77786A78->0x6A776A78[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  78 6A 77 6A  78 6A 78 77
f04d78a5b6d1.tmp->ntdll.dll:RtlWow64EnableFsRedirectionEx  0x7775C679->0x6A74C679[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  79 C6 74 6A  79 C6 75 77
[*]f04d78a5b6d1.tmp->ntdll.dll:memmove  0x77774FC0->0x6A764FC0[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  C0 4F 76 6A  C0 4F 77 77
f04d78a5b6d1.tmp->ntdll.dll:NtFlushBuffersFile  0x77785958->0x6A775958[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  58 59 77 6A  58 59 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtCreateSection  0x777856E8->0x6A7756E8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  E8 56 77 6A  E8 56 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtOpenSection  0x77785DC8->0x6A775DC8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  C8 5D 77 6A  C8 5D 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtMapViewOfSection  0x77785C28->0x6A775C28[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  28 5C 77 6A  28 5C 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtFlushVirtualMemory  0x777859A8->0x6A7759A8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  A8 59 77 6A  A8 59 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlFlushSecureMemoryCache  0x777F6DE0->0x6A7E6DE0[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  E0 6D 7E 6A  E0 6D 7F 77
f04d78a5b6d1.tmp->ntdll.dll:NtUnmapViewOfSection  0x777869B8->0x6A7769B8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  B8 69 77 6A  B8 69 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtReadVirtualMemory  0x777862F8->0x6A7762F8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  F8 62 77 6A  F8 62 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtFlushInstructionCache  0x77785978->0x6A775978[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  78 59 77 6A  78 59 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtWriteVirtualMemory  0x77786A98->0x6A776A98[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  98 6A 77 6A  98 6A 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtProtectVirtualMemory  0x77785F18->0x6A775F18[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  18 5F 77 6A  18 5F 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtFreeVirtualMemory  0x777859D8->0x6A7759D8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  D8 59 77 6A  D8 59 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtQueryVirtualMemory  0x77786258->0x6A776258[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  58 62 77 6A  58 62 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtQuerySystemInformationEx  0x77786208->0x6A776208[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  08 62 77 6A  08 62 78 77
f04d78a5b6d1.tmp->ntdll.dll:RtlGetCurrentProcessorNumberEx  0x777AEBA3->0x6A79EBA3[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  A3 EB 79 6A  A3 EB 7A 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtOpenProcess  0x77785D88->0x6A775D88[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  88 5D 77 6A  88 5D 78 77
f04d78a5b6d1.tmp->ntdll.dll:RtlExitUserProcess  0x7779E0BB->0x6A78E0BB[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  BB E0 78 6A  BB E0 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtTerminateProcess  0x777868C8->0x6A7768C8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  C8 68 77 6A  C8 68 78 77
f04d78a5b6d1.tmp->ntdll.dll:RtlReportSilentProcessExit  0x7779DF6C->0x6A78DF6C[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  6C DF 78 6A  6C DF 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtRaiseHardError  0x777862A8->0x6A7762A8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  A8 62 77 6A  A8 62 78 77
f04d78a5b6d1.tmp->ntdll.dll:RtlRaiseStatus  0x777870E5->0x6A7770E5[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  E5 70 77 6A  E5 70 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlInitUnicodeStringEx  0x77796E9A->0x6A786E9A[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  9A 6E 78 6A  9A 6E 79 77
f04d78a5b6d1.tmp->ntdll.dll:CsrClientCallServer  0x7779C705->0x6A78C705[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  05 C7 78 6A  05 C7 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlQueryEnvironmentVariable_U  0x777A4EE6->0x6A794EE6[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  E6 4E 79 6A  E6 4E 7A 77
f04d78a5b6d1.tmp->ntdll.dll:strchr  0x77787610->0x6A777610[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  10 76 77 6A  10 76 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlInitAnsiStringEx  0x77795845->0x6A785845[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  45 58 78 6A  45 58 79 77
f04d78a5b6d1.tmp->ntdll.dll:RtlUpcaseUnicodeChar  0x77797497->0x6A787497[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  97 74 78 6A  97 74 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:CsrFreeCaptureBuffer  0x777AE3FB->0x6A79E3FB[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  FB E3 79 6A  FB E3 7A 77
f04d78a5b6d1.tmp->ntdll.dll:RtlCopyUnicodeString  0x7779A896->0x6A78A896[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  96 A8 78 6A  96 A8 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlUpcaseUnicodeString  0x7779AE59->0x6A78AE59[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  59 AE 78 6A  59 AE 79 77
f04d78a5b6d1.tmp->ntdll.dll:CsrAllocateMessagePointer  0x777AE322->0x6A79E322[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  22 E3 79 6A  22 E3 7A 77
[*]f04d78a5b6d1.tmp->ntdll.dll:CsrAllocateCaptureBuffer  0x777AE368->0x6A79E368[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  68 E3 79 6A  68 E3 7A 77
f04d78a5b6d1.tmp->ntdll.dll:RtlEqualUnicodeString  0x77795695->0x6A785695[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  95 56 78 6A  95 56 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlCompareMemory  0x77775B80->0x6A765B80[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  80 5B 76 6A  80 5B 77 77
f04d78a5b6d1.tmp->ntdll.dll:NtQueryDirectoryObject  0x77785FA8->0x6A775FA8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  A8 5F 77 6A  A8 5F 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtQuerySymbolicLinkObject  0x777861C8->0x6A7761C8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  C8 61 77 6A  C8 61 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtOpenSymbolicLinkObject  0x77785DF8->0x6A775DF8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  F8 5D 77 6A  F8 5D 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtOpenDirectoryObject  0x77785C98->0x6A775C98[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  98 5C 77 6A  98 5C 78 77
f04d78a5b6d1.tmp->ntdll.dll:RtlSetEnvironmentStrings  0x7776239F->0x6A75239F[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  9F 23 75 6A  9F 23 76 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlSetEnvironmentVariable  0x7776A10D->0x6A75A10D[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  0D A1 75 6A  0D A1 76 77
f04d78a5b6d1.tmp->ntdll.dll:RtlSetEnvironmentVar  0x7779C94D->0x6A78C94D[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  4D C9 78 6A  4D C9 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlExpandEnvironmentStrings  0x777A0D75->0x6A790D75[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  75 0D 79 6A  75 0D 7A 77
f04d78a5b6d1.tmp->ntdll.dll:RtlUnicodeToOemN  0x777B38AF->0x6A7A38AF[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  AF 38 7A 6A  AF 38 7B 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlUnicodeToMultiByteSize  0x777AB42E->0x6A79B42E[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  2E B4 79 6A  2E B4 7A 77
f04d78a5b6d1.tmp->ntdll.dll:RtlExpandEnvironmentStrings_U  0x777A2FB8->0x6A792FB8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  B8 2F 79 6A  B8 2F 7A 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlInitializeCriticalSectionAndSpinCount  0x7779EE1D->0x6A78EE1D[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  1D EE 78 6A  1D EE 79 77
f04d78a5b6d1.tmp->ntdll.dll:RtlInitializeCriticalSectionEx  0x77796D49->0x6A786D49[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  49 6D 78 6A  49 6D 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtSetEvent  0x777865D8->0x6A7765D8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  D8 65 77 6A  D8 65 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtClearEvent  0x777854B8->0x6A7754B8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  B8 54 77 6A  B8 54 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtPulseEvent  0x77785F28->0x6A775F28[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  28 5F 77 6A  28 5F 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtCreateSemaphore  0x777856F8->0x6A7756F8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  F8 56 77 6A  F8 56 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtReleaseSemaphore  0x77786378->0x6A776378[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  78 63 77 6A  78 63 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtCreateMutant  0x77785648->0x6A775648[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  48 56 77 6A  48 56 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtReleaseMutant  0x77786368->0x6A776368[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  68 63 77 6A  68 63 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtCreateTimer  0x77785738->0x6A775738[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  38 57 77 6A  38 57 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtSetTimerEx  0x777867D8->0x6A7767D8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  D8 67 77 6A  D8 67 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtCancelTimer  0x777854A8->0x6A7754A8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  A8 54 77 6A  A8 54 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtOpenEvent  0x77785CB8->0x6A775CB8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  B8 5C 77 6A  B8 5C 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtOpenSemaphore  0x77785DD8->0x6A775DD8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  D8 5D 77 6A  D8 5D 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtOpenMutant  0x77785D58->0x6A775D58[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  58 5D 77 6A  58 5D 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtWaitForMultipleObjects  0x777869F8->0x6A7769F8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  F8 69 77 6A  F8 69 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtOpenTimer  0x77785E38->0x6A775E38[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  38 5E 77 6A  38 5E 78 77
f04d78a5b6d1.tmp->ntdll.dll:RtlExitUserThread  0x7776F608->0x6A75F608[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  08 F6 75 6A  08 F6 76 77
[*]f04d78a5b6d1.tmp->ntdll.dll:LdrUnloadAlternateResourceModule  0x777AEAF8->0x6A79EAF8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  F8 EA 79 6A  F8 EA 7A 77
f04d78a5b6d1.tmp->ntdll.dll:LdrRemoveLoadAsDataTable  0x777B1E56->0x6A7A1E56[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  56 1E 7A 6A  56 1E 7B 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlImageNtHeader  0x7779F9B9->0x6A78F9B9[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  B9 F9 78 6A  B9 F9 79 77
f04d78a5b6d1.tmp->ntdll.dll:LdrUnloadDll  0x7779C86E->0x6A78C86E[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  6E C8 78 6A  6E C8 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:LdrDisableThreadCalloutsForDll  0x7779A195->0x6A78A195[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  95 A1 78 6A  95 A1 79 77
f04d78a5b6d1.tmp->ntdll.dll:LdrUnlockLoaderLock  0x777A00AD->0x6A7900AD[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  AD 00 79 6A  AD 00 7A 77
[*]f04d78a5b6d1.tmp->ntdll.dll:LdrLockLoaderLock  0x777A0006->0x6A790006[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  06 00 79 6A  06 00 7A 77
f04d78a5b6d1.tmp->ntdll.dll:LdrGetDllHandle  0x77798A88->0x6A788A88[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  88 8A 78 6A  88 8A 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:LdrAddRefDll  0x777B07AA->0x6A7A07AA[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  AA 07 7A 6A  AA 07 7B 77
f04d78a5b6d1.tmp->ntdll.dll:RtlComputePrivatizedDllName_U  0x777E0B9C->0x6A7D0B9C[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  9C 0B 7D 6A  9C 0B 7E 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlPcToFileHeader  0x7776A193->0x6A75A193[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  93 A1 75 6A  93 A1 76 77
f04d78a5b6d1.tmp->ntdll.dll:LdrGetProcedureAddress  0x777A2213->0x6A792213[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  13 22 79 6A  13 22 7A 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlInitString  0x77774110->0x6A764110[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  10 41 76 6A  10 41 77 77
f04d78a5b6d1.tmp->ntdll.dll:NtQueryAttributesFile  0x77785F38->0x6A775F38[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  38 5F 77 6A  38 5F 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlDosPathNameToNtPathName_U_WithStatus  0x777B0E6F->0x6A7A0E6F[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  6F 0E 7A 6A  6F 0E 7B 77
f04d78a5b6d1.tmp->ntdll.dll:RtlGetVersion  0x777A65B3->0x6A7965B3[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  B3 65 79 6A  B3 65 7A 77
[*]f04d78a5b6d1.tmp->ntdll.dll:LdrAccessResource  0x777A3D0A->0x6A793D0A[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  0A 3D 79 6A  0A 3D 7A 77
f04d78a5b6d1.tmp->ntdll.dll:RtlReAllocateHeap  0x777AFF2F->0x6A79FF2F[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  2F FF 79 6A  2F FF 7A 77
[*]f04d78a5b6d1.tmp->ntdll.dll:LdrAddLoadAsDataTable  0x777B1B71->0x6A7A1B71[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  71 1B 7A 6A  71 1B 7B 77
f04d78a5b6d1.tmp->ntdll.dll:RtlGetActiveActivationContext  0x7779FE49->0x6A78FE49[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  49 FE 78 6A  49 FE 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:LdrGetDllHandleByMapping  0x777B1CE4->0x6A7A1CE4[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  E4 1C 7A 6A  E4 1C 7B 77
f04d78a5b6d1.tmp->ntdll.dll:RtlImageNtHeaderEx  0x7779F51D->0x6A78F51D[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  1D F5 78 6A  1D F5 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlDosSearchPath_Ustr  0x777ADD0C->0x6A79DD0C[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  0C DD 79 6A  0C DD 7A 77
f04d78a5b6d1.tmp->ntdll.dll:LdrGetDllHandleByName  0x777B0A9D->0x6A7A0A9D[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  9D 0A 7A 6A  9D 0A 7B 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlDosApplyFileIsolationRedirection_Ustr  0x7779761D->0x6A78761D[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  1D 76 78 6A  1D 76 79 77
f04d78a5b6d1.tmp->ntdll.dll:LdrLoadDll  0x777A223E->0x6A79223E[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  3E 22 79 6A  3E 22 7A 77
[*]f04d78a5b6d1.tmp->ntdll.dll:LdrFindResource_U  0x777AE1D1->0x6A79E1D1[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  D1 E1 79 6A  D1 E1 7A 77
f04d78a5b6d1.tmp->ntdll.dll:RtlFreeSid  0x777A3892->0x6A793892[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  92 38 79 6A  92 38 7A 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlSetSaclSecurityDescriptor  0x77766F58->0x6A756F58[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  58 6F 75 6A  58 6F 76 77
f04d78a5b6d1.tmp->ntdll.dll:RtlAddMandatoryAce  0x7775DDE9->0x6A74DDE9[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  E9 DD 74 6A  E9 DD 75 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlAddAccessAllowedAce  0x777A5F13->0x6A795F13[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  13 5F 79 6A  13 5F 7A 77
f04d78a5b6d1.tmp->ntdll.dll:RtlCreateAcl  0x777A2595->0x6A792595[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  95 25 79 6A  95 25 7A 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlLengthSid  0x7779ED77->0x6A78ED77[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  77 ED 78 6A  77 ED 79 77
f04d78a5b6d1.tmp->ntdll.dll:RtlAllocateAndInitializeSid  0x777A22F6->0x6A7922F6[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  F6 22 79 6A  F6 22 7A 77
[*]f04d78a5b6d1.tmp->ntdll.dll:DbgPrint  0x7775F5B3->0x6A74F5B3[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  B3 F5 74 6A  B3 F5 75 77
f04d78a5b6d1.tmp->ntdll.dll:NtOpenThread  0x77785E08->0x6A775E08[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  08 5E 77 6A  08 5E 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtSetInformationThread  0x77786698->0x6A776698[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  98 66 77 6A  98 66 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtQueryInformationThread  0x77786068->0x6A776068[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  68 60 77 6A  68 60 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtTerminateThread  0x777868D8->0x6A7768D8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  D8 68 77 6A  D8 68 78 77
f04d78a5b6d1.tmp->ntdll.dll:TpCheckTerminateWorker  0x7779D6AA->0x6A78D6AA[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  AA D6 78 6A  AA D6 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlCaptureStackBackTrace  0x77764FA8->0x6A754FA8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  A8 4F 75 6A  A8 4F 76 77
f04d78a5b6d1.tmp->ntdll.dll:NtSuspendThread  0x77786898->0x6A776898[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  98 68 77 6A  98 68 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtResumeThread  0x777864A8->0x6A7764A8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  A8 64 77 6A  A8 64 78 77
f04d78a5b6d1.tmp->ntdll.dll:RtlClearBits  0x7779D3B8->0x6A78D3B8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  B8 D3 78 6A  B8 D3 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlAreBitsSet  0x7779D78D->0x6A78D78D[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  8D D7 78 6A  8D D7 79 77
f04d78a5b6d1.tmp->ntdll.dll:NtQueueApcThread  0x77786278->0x6A776278[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  78 62 77 6A  78 62 78 77
f04d78a5b6d1.tmp->ntdll.dll:RtlQueryInformationActivationContext  0x777A3E57->0x6A793E57[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  57 3E 79 6A  57 3E 7A 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlFlsAlloc  0x777A61B7->0x6A7961B7[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  B7 61 79 6A  B7 61 7A 77
f04d78a5b6d1.tmp->ntdll.dll:RtlProcessFlsData  0x77798E19->0x6A788E19[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  19 8E 78 6A  19 8E 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlFlsFree  0x7779DE84->0x6A78DE84[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  84 DE 78 6A  84 DE 79 77
f04d78a5b6d1.tmp->ntdll.dll:NtYieldExecution  0x77786AA8->0x6A776AA8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  A8 6A 77 6A  A8 6A 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlFreeActivationContextStack  0x7776F5BF->0x6A75F5BF[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  BF F5 75 6A  BF F5 76 77
f04d78a5b6d1.tmp->ntdll.dll:RtlReleaseActivationContext  0x777B2B1A->0x6A7A2B1A[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  1A 2B 7A 6A  1A 2B 7B 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlActivateActivationContextEx  0x7776A960->0x6A75A960[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  60 A9 75 6A  60 A9 76 77
f04d78a5b6d1.tmp->ntdll.dll:RtlAllocateActivationContextStack  0x777A34A7->0x6A7934A7[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  A7 34 79 6A  A7 34 7A 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtCreateThreadEx  0x77785728->0x6A775728[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  28 57 77 6A  28 57 78 77
f04d78a5b6d1.tmp->ntdll.dll:TpCaptureCaller  0x7776903A->0x6A75903A[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  3A 90 75 6A  3A 90 76 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlFindClearBitsAndSet  0x777A5D6C->0x6A795D6C[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  6C 5D 79 6A  6C 5D 7A 77
f04d78a5b6d1.tmp->ntdll.dll:RtlFormatMessageEx  0x7776C640->0x6A75C640[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  40 C6 75 6A  40 C6 76 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlInitAnsiString  0x77774148->0x6A764148[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  48 41 76 6A  48 41 77 77
f04d78a5b6d1.tmp->ntdll.dll:RtlFindMessage  0x7776C175->0x6A75C175[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  75 C1 75 6A  75 C1 76 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlLoadString  0x7776CC9E->0x6A75CC9E[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  9E CC 75 6A  9E CC 76 77
f04d78a5b6d1.tmp->ntdll.dll:RtlUnicodeToMultiByteN  0x77799D07->0x6A789D07[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  07 9D 78 6A  07 9D 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlUnlockHeap  0x7779D879->0x6A78D879[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  79 D8 78 6A  79 D8 79 77
f04d78a5b6d1.tmp->ntdll.dll:RtlFreeHandle  0x777B37A7->0x6A7A37A7[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  A7 37 7A 6A  A7 37 7B 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlIsValidHandle  0x777B2FC2->0x6A7A2FC2[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  C2 2F 7A 6A  C2 2F 7B 77
f04d78a5b6d1.tmp->ntdll.dll:RtlLockHeap  0x7779D820->0x6A78D820[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  20 D8 78 6A  20 D8 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlSetUserValueHeap  0x7776EB7A->0x6A75EB7A[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  7A EB 75 6A  7A EB 76 77
f04d78a5b6d1.tmp->ntdll.dll:RtlAllocateHandle  0x777B3007->0x6A7A3007[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  07 30 7A 6A  07 30 7B 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlCreateHeap  0x777A28C4->0x6A7928C4[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  C4 28 79 6A  C4 28 7A 77
f04d78a5b6d1.tmp->ntdll.dll:RtlDestroyHeap  0x77764D3E->0x6A754D3E[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  3E 4D 75 6A  3E 4D 76 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlQueryHeapInformation  0x777B81DE->0x6A7A81DE[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  DE 81 7A 6A  DE 81 7B 77
f04d78a5b6d1.tmp->ntdll.dll:RtlValidateHeap  0x777658AC->0x6A7558AC[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  AC 58 75 6A  AC 58 76 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlGetProcessHeaps  0x777BABC9->0x6A7AABC9[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  C9 AB 7A 6A  C9 AB 7B 77
f04d78a5b6d1.tmp->ntdll.dll:RtlCompactHeap  0x77750EC2->0x6A740EC2[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  C2 0E 74 6A  C2 0E 75 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlWalkHeap  0x777444CD->0x6A7344CD[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  CD 44 73 6A  CD 44 74 77
f04d78a5b6d1.tmp->ntdll.dll:RtlSetHeapInformation  0x777AB475->0x6A79B475[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  75 B4 79 6A  75 B4 7A 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlInitializeHandleTable  0x777A8D25->0x6A798D25[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  25 8D 79 6A  25 8D 7A 77
f04d78a5b6d1.tmp->ntdll.dll:RtlIsDosDeviceName_U  0x7779A652->0x6A78A652[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  52 A6 78 6A  52 A6 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlAnsiCharToUnicodeChar  0x777AC2EB->0x6A79C2EB[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  EB C2 79 6A  EB C2 7A 77
f04d78a5b6d1.tmp->ntdll.dll:RtlIntegerToChar  0x7779A751->0x6A78A751[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  51 A7 78 6A  51 A7 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:wcsncpy_s  0x7775B2A9->0x6A74B2A9[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  A9 B2 74 6A  A9 B2 75 77
f04d78a5b6d1.tmp->ntdll.dll:RtlGetCurrentDirectory_U  0x777B4F30->0x6A7A4F30[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  30 4F 7A 6A  30 4F 7B 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlSetThreadErrorMode  0x777B37D7->0x6A7A37D7[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  D7 37 7A 6A  D7 37 7B 77
f04d78a5b6d1.tmp->ntdll.dll:toupper  0x777B257D->0x6A7A257D[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  7D 25 7A 6A  7D 25 7B 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlInitializeCriticalSection  0x7779A0D9->0x6A78A0D9[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  D9 A0 78 6A  D9 A0 79 77
f04d78a5b6d1.tmp->ntdll.dll:RtlDeleteCriticalSection  0x77799A55->0x6A789A55[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  55 9A 78 6A  55 9A 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlLeaveCriticalSection  0x777876E0->0x6A7776E0[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  E0 76 77 6A  E0 76 78 77
f04d78a5b6d1.tmp->ntdll.dll:RtlEnterCriticalSection  0x77787720->0x6A777720[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  20 77 77 6A  20 77 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlReleaseRelativeName  0x77797F0A->0x6A787F0A[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  0A 7F 78 6A  0A 7F 79 77
f04d78a5b6d1.tmp->ntdll.dll:RtlDosPathNameToRelativeNtPathName_U  0x7779CCD9->0x6A78CCD9[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  D9 CC 78 6A  D9 CC 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlDosPathNameToRelativeNtPathName_U_WithStatus  0x7779A631->0x6A78A631[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  31 A6 78 6A  31 A6 79 77
f04d78a5b6d1.tmp->ntdll.dll:NtQueryFullAttributesFile  0x77785FE8->0x6A775FE8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  E8 5F 77 6A  E8 5F 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtNotifyChangeDirectoryFile  0x77785C58->0x6A775C58[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  58 5C 77 6A  58 5C 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtQueryDirectoryFile  0x77785F98->0x6A775F98[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  98 5F 77 6A  98 5F 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlGetFullPathName_UEx  0x777A5CEE->0x6A795CEE[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  EE 5C 79 6A  EE 5C 7A 77
f04d78a5b6d1.tmp->ntdll.dll:RtlSetCurrentDirectory_U  0x777B4E6D->0x6A7A4E6D[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  6D 4E 7A 6A  6D 4E 7B 77
f04d78a5b6d1.tmp->ntdll.dll:NtQueryEaFile  0x77785FC8->0x6A775FC8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  C8 5F 77 6A  C8 5F 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtIsProcessInJob  0x77785B18->0x6A775B18[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  18 5B 77 6A  18 5B 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtDuplicateToken  0x777858A8->0x6A7758A8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  A8 58 77 6A  A8 58 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtAllocateLocallyUniqueId  0x77785298->0x6A775298[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  98 52 77 6A  98 52 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtAccessCheck  0x777851B8->0x6A7751B8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  B8 51 77 6A  B8 51 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtAccessCheckByType  0x777851D8->0x6A7751D8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  D8 51 77 6A  D8 51 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtAccessCheckByTypeResultList  0x777851F8->0x6A7751F8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  F8 51 77 6A  F8 51 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtOpenProcessToken  0x77785D98->0x6A775D98[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  98 5D 77 6A  98 5D 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtOpenThreadToken  0x77785E18->0x6A775E18[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  18 5E 77 6A  18 5E 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtQueryInformationToken  0x77786078->0x6A776078[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  78 60 77 6A  78 60 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtSetInformationToken  0x777866A8->0x6A7766A8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  A8 66 77 6A  A8 66 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtAdjustPrivilegesToken  0x77785268->0x6A775268[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  68 52 77 6A  68 52 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtAdjustGroupsToken  0x77785258->0x6A775258[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  58 52 77 6A  58 52 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtPrivilegeCheck  0x77785EC8->0x6A775EC8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  C8 5E 77 6A  C8 5E 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtAccessCheckAndAuditAlarm  0x777851C8->0x6A7751C8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  C8 51 77 6A  C8 51 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtAccessCheckByTypeAndAuditAlarm  0x777851E8->0x6A7751E8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  E8 51 77 6A  E8 51 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtAccessCheckByTypeResultListAndAuditAlarm  0x77785208->0x6A775208[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  08 52 77 6A  08 52 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtAccessCheckByTypeResultListAndAuditAlarmByHandle  0x77785218->0x6A775218[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  18 52 77 6A  18 52 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtOpenObjectAuditAlarm  0x77785D68->0x6A775D68[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  68 5D 77 6A  68 5D 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtPrivilegeObjectAuditAlarm  0x77785EE8->0x6A775EE8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  E8 5E 77 6A  E8 5E 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtCloseObjectAuditAlarm  0x777854D8->0x6A7754D8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  D8 54 77 6A  D8 54 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtDeleteObjectAuditAlarm  0x77785828->0x6A775828[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  28 58 77 6A  28 58 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtPrivilegedServiceAuditAlarm  0x77785ED8->0x6A775ED8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  D8 5E 77 6A  D8 5E 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlValidSid  0x7779ED93->0x6A78ED93[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  93 ED 78 6A  93 ED 79 77
f04d78a5b6d1.tmp->ntdll.dll:RtlEqualSid  0x777AE1A5->0x6A79E1A5[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  A5 E1 79 6A  A5 E1 7A 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlEqualPrefixSid  0x7775A669->0x6A74A669[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  69 A6 74 6A  69 A6 75 77
f04d78a5b6d1.tmp->ntdll.dll:RtlLengthRequiredSid  0x777A21F0->0x6A7921F0[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  F0 21 79 6A  F0 21 7A 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlInitializeSid  0x777A6741->0x6A796741[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  41 67 79 6A  41 67 7A 77
f04d78a5b6d1.tmp->ntdll.dll:RtlIdentifierAuthoritySid  0x7775A5FC->0x6A74A5FC[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  FC A5 74 6A  FC A5 75 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlSubAuthoritySid  0x777A6729->0x6A796729[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  29 67 79 6A  29 67 7A 77
f04d78a5b6d1.tmp->ntdll.dll:RtlSubAuthorityCountSid  0x777B0862->0x6A7A0862[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  62 08 7A 6A  62 08 7B 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlCopySid  0x7779EDE9->0x6A78EDE9[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  E9 ED 78 6A  E9 ED 79 77
f04d78a5b6d1.tmp->ntdll.dll:RtlAreAllAccessesGranted  0x7774EDD6->0x6A73EDD6[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  D6 ED 73 6A  D6 ED 74 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlAreAnyAccessesGranted  0x777EB94D->0x6A7DB94D[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  4D B9 7D 6A  4D B9 7E 77
f04d78a5b6d1.tmp->ntdll.dll:RtlMapGenericMask  0x77759591->0x6A749591[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  91 95 74 6A  91 95 75 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlValidAcl  0x777A0C6D->0x6A790C6D[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  6D 0C 79 6A  6D 0C 7A 77
f04d78a5b6d1.tmp->ntdll.dll:RtlQueryInformationAcl  0x7775ACCD->0x6A74ACCD[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  CD AC 74 6A  CD AC 75 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlSetInformationAcl  0x777ED0C9->0x6A7DD0C9[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  C9 D0 7D 6A  C9 D0 7E 77
f04d78a5b6d1.tmp->ntdll.dll:RtlAddAce  0x7774B437->0x6A73B437[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  37 B4 73 6A  37 B4 74 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlDeleteAce  0x7776544E->0x6A75544E[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  4E 54 75 6A  4E 54 76 77
f04d78a5b6d1.tmp->ntdll.dll:RtlGetAce  0x77767010->0x6A757010[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  10 70 75 6A  10 70 76 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlAddAccessAllowedAceEx  0x77766FB7->0x6A756FB7[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  B7 6F 75 6A  B7 6F 76 77
f04d78a5b6d1.tmp->ntdll.dll:RtlAddAccessDeniedAce  0x7774622C->0x6A73622C[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  2C 62 73 6A  2C 62 74 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlAddAccessDeniedAceEx  0x77748AFB->0x6A738AFB[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  FB 8A 73 6A  FB 8A 74 77
f04d78a5b6d1.tmp->ntdll.dll:RtlAddAuditAccessAce  0x7774219E->0x6A73219E[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  9E 21 73 6A  9E 21 74 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlAddAuditAccessAceEx  0x7774568E->0x6A73568E[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  8E 56 73 6A  8E 56 74 77
f04d78a5b6d1.tmp->ntdll.dll:RtlAddAccessAllowedObjectAce  0x777ED3F5->0x6A7DD3F5[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  F5 D3 7D 6A  F5 D3 7E 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlAddAccessDeniedObjectAce  0x777ED442->0x6A7DD442[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  42 D4 7D 6A  42 D4 7E 77
f04d78a5b6d1.tmp->ntdll.dll:RtlAddAuditAccessObjectAce  0x777ED490->0x6A7DD490[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  90 D4 7D 6A  90 D4 7E 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlFirstFreeAce  0x777A127E->0x6A79127E[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  7E 12 79 6A  7E 12 7A 77
f04d78a5b6d1.tmp->ntdll.dll:RtlValidSecurityDescriptor  0x777636CE->0x6A7536CE[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  CE 36 75 6A  CE 36 76 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlValidRelativeSecurityDescriptor  0x777617AF->0x6A7517AF[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  AF 17 75 6A  AF 17 76 77
f04d78a5b6d1.tmp->ntdll.dll:RtlLengthSecurityDescriptor  0x77763E32->0x6A753E32[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  32 3E 75 6A  32 3E 76 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlGetControlSecurityDescriptor  0x77763EC4->0x6A753EC4[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  C4 3E 75 6A  C4 3E 76 77
f04d78a5b6d1.tmp->ntdll.dll:RtlSetControlSecurityDescriptor  0x777480E0->0x6A7380E0[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  E0 80 73 6A  E0 80 74 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlGetDaclSecurityDescriptor  0x7776257D->0x6A75257D[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  7D 25 75 6A  7D 25 76 77
f04d78a5b6d1.tmp->ntdll.dll:RtlGetSaclSecurityDescriptor  0x77766FDB->0x6A756FDB[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  DB 6F 75 6A  DB 6F 76 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlSetOwnerSecurityDescriptor  0x777AF582->0x6A79F582[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  82 F5 79 6A  82 F5 7A 77
f04d78a5b6d1.tmp->ntdll.dll:RtlGetOwnerSecurityDescriptor  0x7775F67D->0x6A74F67D[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  7D F6 74 6A  7D F6 75 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlSetGroupSecurityDescriptor  0x777AF622->0x6A79F622[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  22 F6 79 6A  22 F6 7A 77
f04d78a5b6d1.tmp->ntdll.dll:RtlGetGroupSecurityDescriptor  0x7775F6C4->0x6A74F6C4[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  C4 F6 74 6A  C4 F6 75 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlNewSecurityObject  0x7774F535->0x6A73F535[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  35 F5 73 6A  35 F5 74 77
f04d78a5b6d1.tmp->ntdll.dll:RtlConvertToAutoInheritSecurityObject  0x777E1EBD->0x6A7D1EBD[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  BD 1E 7D 6A  BD 1E 7E 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlNewSecurityObjectEx  0x7775ADBF->0x6A74ADBF[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  BF AD 74 6A  BF AD 75 77
f04d78a5b6d1.tmp->ntdll.dll:RtlNewSecurityObjectWithMultipleInheritance  0x777E191C->0x6A7D191C[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  1C 19 7D 6A  1C 19 7E 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlSetSecurityObject  0x77747030->0x6A737030[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  30 70 73 6A  30 70 74 77
f04d78a5b6d1.tmp->ntdll.dll:RtlSetSecurityObjectEx  0x777E192C->0x6A7D192C[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  2C 19 7D 6A  2C 19 7E 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlQuerySecurityObject  0x777E1955->0x6A7D1955[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  55 19 7D 6A  55 19 7E 77
f04d78a5b6d1.tmp->ntdll.dll:RtlDeleteSecurityObject  0x7775A610->0x6A74A610[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  10 A6 74 6A  10 A6 75 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlAbsoluteToSelfRelativeSD  0x77763CB2->0x6A753CB2[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  B2 3C 75 6A  B2 3C 76 77
f04d78a5b6d1.tmp->ntdll.dll:RtlSelfRelativeToAbsoluteSD  0x77750C89->0x6A740C89[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  89 0C 74 6A  89 0C 75 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtSetSecurityObject  0x77786758->0x6A776758[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  58 67 77 6A  58 67 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtQuerySecurityObject  0x777861A8->0x6A7761A8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  A8 61 77 6A  A8 61 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlImpersonateSelf  0x7774AC3B->0x6A73AC3B[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  3B AC 73 6A  3B AC 74 77
f04d78a5b6d1.tmp->ntdll.dll:NtImpersonateAnonymousToken  0x77785AB8->0x6A775AB8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  B8 5A 77 6A  B8 5A 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtFilterToken  0x77785938->0x6A775938[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  38 59 77 6A  38 59 78 77
f04d78a5b6d1.tmp->ntdll.dll:RtlSelfRelativeToAbsoluteSD2  0x77745754->0x6A735754[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  54 57 73 6A  54 57 74 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlGetSecurityDescriptorRMControl  0x777EBD48->0x6A7DBD48[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  48 BD 7D 6A  48 BD 7E 77
f04d78a5b6d1.tmp->ntdll.dll:RtlSetSecurityDescriptorRMControl  0x777EBDAF->0x6A7DBDAF[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  AF BD 7D 6A  AF BD 7E 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlUnhandledExceptionFilter  0x777FD1AB->0x6A7ED1AB[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  AB D1 7E 6A  AB D1 7F 77
f04d78a5b6d1.tmp->ntdll.dll:RtlGetLocaleFileMappingAddress  0x777A627E->0x6A79627E[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  7E 62 79 6A  7E 62 7A 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtGetNlsSectionPtr  0x77785A78->0x6A775A78[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  78 5A 77 6A  78 5A 78 77
f04d78a5b6d1.tmp->ntdll.dll:RtlNormalizeString  0x777FCDF7->0x6A7ECDF7[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  F7 CD 7E 6A  F7 CD 7F 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtSetValueKey  0x77786808->0x6A776808[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  08 68 77 6A  08 68 78 77
f04d78a5b6d1.tmp->ntdll.dll:RtlOpenCurrentUser  0x777AA8CE->0x6A79A8CE[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  CE A8 79 6A  CE A8 7A 77
[*]f04d78a5b6d1.tmp->ntdll.dll:wcspbrk  0x777B0ECC->0x6A7A0ECC[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  CC 0E 7A 6A  CC 0E 7B 77
f04d78a5b6d1.tmp->ntdll.dll:RtlLcidToLocaleName  0x7779912F->0x6A78912F[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  2F 91 78 6A  2F 91 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:EtwEventUnregister  0x7779D96D->0x6A78D96D[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  6D D9 78 6A  6D D9 79 77
f04d78a5b6d1.tmp->ntdll.dll:EtwEventEnabled  0x77772083->0x6A762083[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  83 20 76 6A  83 20 77 77
[*]f04d78a5b6d1.tmp->ntdll.dll:EtwEventRegister  0x777A5ADC->0x6A795ADC[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  DC 5A 79 6A  DC 5A 7A 77
f04d78a5b6d1.tmp->ntdll.dll:NtSetDefaultLocale  0x77786598->0x6A776598[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  98 65 77 6A  98 65 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlLocaleNameToLcid  0x7779B1CA->0x6A78B1CA[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  CA B1 78 6A  CA B1 79 77
f04d78a5b6d1.tmp->ntdll.dll:NtEnumerateValueKey  0x77785918->0x6A775918[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  18 59 77 6A  18 59 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlpMuiFreeLangRegistryInfo  0x777B5D05->0x6A7A5D05[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  05 5D 7A 6A  05 5D 7B 77
f04d78a5b6d1.tmp->ntdll.dll:RtlCultureNameToLCID  0x7779AF03->0x6A78AF03[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  03 AF 78 6A  03 AF 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:qsort  0x77757A22->0x6A747A22[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  22 7A 74 6A  22 7A 75 77
f04d78a5b6d1.tmp->ntdll.dll:RtlpIsQualifiedLanguage  0x7774A9F4->0x6A73A9F4[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  F4 A9 73 6A  F4 A9 74 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlpGetLCIDFromLangInfoNode  0x7774A926->0x6A73A926[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  26 A9 73 6A  26 A9 74 77
f04d78a5b6d1.tmp->ntdll.dll:RtlpGetNameFromLangInfoNode  0x7774A96B->0x6A73A96B[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  6B A9 73 6A  6B A9 74 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtQueryInstallUILanguage  0x777860B8->0x6A7760B8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  B8 60 77 6A  B8 60 78 77
f04d78a5b6d1.tmp->ntdll.dll:RtlLCIDToCultureName  0x7779936F->0x6A78936F[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  6F 93 78 6A  6F 93 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlpLoadUserUIByPolicy  0x777AB6E2->0x6A79B6E2[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  E2 B6 79 6A  E2 B6 7A 77
f04d78a5b6d1.tmp->ntdll.dll:RtlpLoadMachineUIByPolicy  0x77800AFA->0x6A7F0AFA[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  FA 0A 7F 6A  FA 0A 80 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlpCreateProcessRegistryInfo  0x7779898B->0x6A78898B[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  8B 89 78 6A  8B 89 79 77
f04d78a5b6d1.tmp->ntdll.dll:RtlpInitializeLangRegistryInfo  0x777ABBE3->0x6A79BBE3[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  E3 BB 79 6A  E3 BB 7A 77
[*]f04d78a5b6d1.tmp->ntdll.dll:LdrFindResourceEx_U  0x777AC2A9->0x6A79C2A9[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  A9 C2 79 6A  A9 C2 7A 77
f04d78a5b6d1.tmp->ntdll.dll:RtlGetFileMUIPath  0x777483C3->0x6A7383C3[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  C3 83 73 6A  C3 83 74 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlGetUILanguageInfo  0x777B5FFE->0x6A7A5FFE[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  FE 5F 7A 6A  FE 5F 7B 77
f04d78a5b6d1.tmp->ntdll.dll:RtlpGetSystemDefaultUILanguage  0x7779B657->0x6A78B657[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  57 B6 78 6A  57 B6 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlGetThreadPreferredUILanguages  0x777993CD->0x6A7893CD[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  CD 93 78 6A  CD 93 79 77
f04d78a5b6d1.tmp->ntdll.dll:RtlGetProcessPreferredUILanguages  0x777F0C89->0x6A7E0C89[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  89 0C 7E 6A  89 0C 7F 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlpQueryDefaultUILanguage  0x7776CF1D->0x6A75CF1D[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  1D CF 75 6A  1D CF 76 77
f04d78a5b6d1.tmp->ntdll.dll:RtlGetSystemPreferredUILanguages  0x7774B943->0x6A73B943[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  43 B9 73 6A  43 B9 74 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlGetUserPreferredUILanguages  0x777BB234->0x6A7AB234[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  34 B2 7A 6A  34 B2 7B 77
f04d78a5b6d1.tmp->ntdll.dll:NtCreateKey  0x77785608->0x6A775608[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  08 56 77 6A  08 56 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtDeleteKey  0x77785818->0x6A775818[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  18 58 77 6A  18 58 78 77
f04d78a5b6d1.tmp->ntdll.dll:NtEnumerateKey  0x777858E8->0x6A7758E8[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  E8 58 77 6A  E8 58 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlIntegerToUnicodeString  0x7779A809->0x6A78A809[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  09 A8 78 6A  09 A8 79 77
f04d78a5b6d1.tmp->ntdll.dll:RtlAppendUnicodeToString  0x7779EE62->0x6A78EE62[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  62 EE 78 6A  62 EE 79 77
[*]f04d78a5b6d1.tmp->ntdll.dll:EtwEventWrite  0x7776D5BA->0x6A75D5BA[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  BA D5 75 6A  BA D5 76 77
f04d78a5b6d1.tmp->ntdll.dll:NtQueryDefaultLocale  0x77785F78->0x6A775F78[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  78 5F 77 6A  78 5F 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtNotifyChangeKey  0x77785C68->0x6A775C68[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  68 5C 77 6A  68 5C 78 77
f04d78a5b6d1.tmp->ntdll.dll:swprintf_s  0x77767AB3->0x6A757AB3[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  B3 7A 75 6A  B3 7A 76 77
[*]f04d78a5b6d1.tmp->ntdll.dll:CsrCaptureMessageBuffer  0x777B53F0->0x6A7A53F0[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  F0 53 7A 6A  F0 53 7B 77
f04d78a5b6d1.tmp->ntdll.dll:RtlUTF8ToUnicodeN  0x7776475A->0x6A75475A[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  5A 47 75 6A  5A 47 76 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlUnicodeToUTF8N  0x7776390C->0x6A75390C[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  0C 39 75 6A  0C 39 76 77
f04d78a5b6d1.tmp->ntdll.dll:NtDeleteValueKey  0x77785848->0x6A775848[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  48 58 77 6A  48 58 78 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlUnwind  0x7775FA38->0x6A74FA38[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  38 FA 74 6A  38 FA 75 77
f04d78a5b6d1.tmp->ntdll.dll:DbgPrintEx  0x77761A56->0x6A751A56[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  56 1A 75 6A  56 1A 76 77
[*]f04d78a5b6d1.tmp->ntdll.dll:RtlSetLastWin32ErrorAndNtStatusFromNtStatus  0x777B339D->0x6A7A339D[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  9D 33 7A 6A  9D 33 7B 77
f04d78a5b6d1.tmp->ntdll.dll:TpAllocPool  0x777AF892->0x6A79F892[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  92 F8 79 6A  92 F8 7A 77
[*]f04d78a5b6d1.tmp->ntdll.dll:TpSetPoolMinThreads  0x777549B5->0x6A7449B5[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  B5 49 74 6A  B5 49 75 77
f04d78a5b6d1.tmp->ntdll.dll:TpSetPoolStackInformation  0x777B2B53->0x6A7A2B53[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  53 2B 7A 6A  53 2B 7B 77
[*]f04d78a5b6d1.tmp->ntdll.dll:TpQueryPoolStackInformation  0x77811D5E->0x6A801D5E[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  5E 1D 80 6A  5E 1D 81 77
f04d78a5b6d1.tmp->ntdll.dll:TpAllocCleanupGroup  0x77752316->0x6A742316[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  16 23 74 6A  16 23 75 77
[*]f04d78a5b6d1.tmp->ntdll.dll:TpSimpleTryPost  0x7775C90E->0x6A74C90E[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  0E C9 74 6A  0E C9 75 77
f04d78a5b6d1.tmp->ntdll.dll:TpAllocWork  0x77752486->0x6A742486[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  86 24 74 6A  86 24 75 77
[*]f04d78a5b6d1.tmp->ntdll.dll:TpAllocTimer  0x777AF2CB->0x6A79F2CB[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  CB F2 79 6A  CB F2 7A 77
f04d78a5b6d1.tmp->ntdll.dll:TpAllocWait  0x77759308->0x6A749308[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  08 93 74 6A  08 93 75 77
[*]f04d78a5b6d1.tmp->ntdll.dll:TpAllocIoCompletion  0x77769BD4->0x6A759BD4[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  D4 9B 75 6A  D4 9B 76 77
f04d78a5b6d1.tmp->ntdll.dll:TpCallbackMayRunLong  0x77766862->0x6A756862[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  62 68 75 6A  62 68 76 77
[*]f04d78a5b6d1.tmp->ntdll.dll:NtQueryMultipleValueKey  0x77786108->0x6A776108[C:\Users\ADMINI~1\AppData\Local\Temp\808679d7e5e6.tmp]  Iat  08 61 77 6A  08 61 78 77

 

然后为了让CE能正常附加扫描进程,修改内存,读内存,我暂时绕过了以下函数:

   HookNtOpenProcess();
   HookNtReadVirtualMemory();
   HookNtWriteVirtualMemory();
   HookNtClose();
   HookNtProtectVirtualMemory();
   HooPsSuspendThread();
   HookNtGetContextThread();

Ring 3层的程序通过DeviceIoControl传递游戏进程ID给驱动,然后驱动就执行相关的动作!现在给出部分关键的代码!

Ring 3层:

// 安装驱动的线程函数
UINT __cdecl CDriverProtectDlg::InstallDriverThread(LPVOID pParam)
{
	CDriverProtectDlg* pDlg = NULL;
	pDlg = (CDriverProtectDlg*)pParam;
	pDlg->UpdateData(TRUE);
	if (pDlg->strPath.IsEmpty())
	{
		AfxMessageBox(L"请选择驱动路径!");
		return 0;
	}
	if (pDlg->strrGamePath.IsEmpty())
	{
		AfxMessageBox(L"请选择游戏路径!");
		return 0;
	}
	if (!pDlg->LoadNTDriver(L"HelloDDK",pDlg->strPath.GetBuffer()))
	{
		pDlg->UnloadNTDriver(L"HelloDDK");
		pDlg->LoadNTDriver(L"HelloDDK",pDlg->strPath.GetBuffer());
	}
	HANDLE hDevice = 
		::CreateFileW(L"\\\\.\\HelloDDK",
		GENERIC_READ | GENERIC_WRITE,
		0,		// share mode none
		NULL,	// no security
		OPEN_EXISTING,
		FILE_ATTRIBUTE_NORMAL,
		NULL );		// no template
	if (hDevice == INVALID_HANDLE_VALUE)
	{
		pDlg->m_DriverINFORMATION.SetWindowTextW(L"打开驱动错误!");
		return 1;
	}
	DWORD Pid = pDlg->TransferProcessID(pDlg->strrGamePath.GetBuffer());
	int a = (int)Pid;
	UCHAR* InputBuffer = new UCHAR[a];
	UCHAR* OutputBuffer= new UCHAR[a];
	BOOL bRet;
	DWORD dwOutput;
	//输入缓冲区作为输入,输出缓冲区作为输出
	bRet = DeviceIoControl(hDevice, IOCTL_TEST1, InputBuffer, a, OutputBuffer, a, &dwOutput, NULL);
	if (bRet)
	{
		pDlg->m_DriverINFORMATION.SetWindowTextW(L"开启保护成功!");
	}
	CloseHandle(hDevice);
	delete []InputBuffer;
	delete []OutputBuffer;
	//AfxEndThread(0);
	ResumeThread(pDlg->ProcessMainThread);
	pDlg = NULL;
	return 0;
}
UINT __cdecl CDriverProtectDlg::UnInstallDriverThread(LPVOID pParam)
{
	CDriverProtectDlg* pDlg = NULL;
	pDlg = (CDriverProtectDlg*)pParam;
	pDlg->UpdateData(TRUE);
	if (pDlg->strPath.IsEmpty())
	{
		AfxMessageBox(L"请选择驱动路径!");
		return 0;
	}
	if (pDlg->strrGamePath.IsEmpty())
	{
		AfxMessageBox(L"请选择游戏路径!");
		return 0;
	}
	pDlg->UnloadNTDriver(L"HelloDDK");
	//AfxEndThread(0);
	pDlg = NULL;
	return 0;
}


 

Ring 0层的:

绕过NtOpenProcess的部分代码:

#include "HookNtOpenProcess.h"
#include "Function.h"

int nNtOpenProcessAddr;
int nHookNtOpenProcessAddr;
int nHookNtOpenPrpcessJmp;
int nHookNtOpenPrpcessOldJmp;
int nObOpenObjectByPointerAddr;
extern int GameProcessID;
static __declspec(naked) void MyNtOpenProcess()
{
	__asm
	{
		push dword ptr [ebp-4]
		push dword ptr [ebp-4]
		push dword ptr [ebp+0x0C]
		push dword ptr [ebp+8]
	}
	if (PanDuanProcessID()==GameProcessID)
	{
		__asm
		{
			jmp nHookNtOpenPrpcessOldJmp
			call nObOpenObjectByPointerAddr
			jmp nHookNtOpenPrpcessJmp
		}
	}
	else
	{
		__asm
		{
			call nObOpenObjectByPointerAddr
			jmp nHookNtOpenPrpcessJmp
		}
	}
}


void HookNtOpenProcess()
{
	nNtOpenProcessAddr=GetFunCtionAddr(L"NtOpenProcess");
	char code[13] = {(char)0xFF,(char)0x75,(char)0xFC,(char)0xFF,(char)0x75,(char)0xFC,(char)0xFF,(char)0x75,(char)0x0C,(char)0xFF,(char)0x75,(char)0x08,(char)0xE8};
	nHookNtOpenProcessAddr=SearchFeature(nNtOpenProcessAddr,code,13)-13;
	//DbgPrint("nHookNtOpenProcessAddr=%x\n",nHookNtOpenProcessAddr);
	nHookNtOpenPrpcessJmp=nHookNtOpenProcessAddr+17;
	nHookNtOpenPrpcessOldJmp=nHookNtOpenProcessAddr+12;
	//DbgPrint("nHookNtOpenPrpcessJmp=%x\n",nHookNtOpenPrpcessJmp);
	//DbgPrint("nHookNtOpenPrpcessOldJmp=%x\n",nHookNtOpenPrpcessOldJmp);
	nObOpenObjectByPointerAddr = GetCallAddr(nHookNtOpenPrpcessOldJmp+1);
	//DbgPrint("nObOpenObjectByPointerAddr=%x\n",nObOpenObjectByPointerAddr);
	InLineHookEngine(nHookNtOpenProcessAddr,(int)MyNtOpenProcess);
}


void UnHookNtOpenProcess()
{
	char code[13] = {(char)0xFF,(char)0x75,(char)0xFC,(char)0xFF,(char)0x75,(char)0xFC,(char)0xFF,(char)0x75,(char)0x0C,(char)0xFF,(char)0x75,(char)0x08,(char)0xE8};
	UnInLineHookEngine(nHookNtOpenProcessAddr,code,5);
}


驱动通过->MajorFunction[IRP_MJ_DEVICE_CONTROL]派遣函数得到游戏的进程ID,下面是部分关键的代码:

#pragma PAGEDCODE
NTSTATUS HelloDDKDeviceIOControl(IN PDEVICE_OBJECT pDevObj,
								 IN PIRP pIrp)
{
	NTSTATUS status = STATUS_SUCCESS;
	KdPrint(("Enter HelloDDKDeviceIOControl\n"));

	//得到当前堆栈
	PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(pIrp);
	//得到输入缓冲区大小
	ULONG cbin = stack->Parameters.DeviceIoControl.InputBufferLength;
	//得到输出缓冲区大小
	ULONG cbout = stack->Parameters.DeviceIoControl.OutputBufferLength;
	//得到IOCTL码
	ULONG code = stack->Parameters.DeviceIoControl.IoControlCode;

	ULONG info = 0;

	switch (code)
	{						// process request
		case IOCTL_TEST1:
		{
			KdPrint(("IOCTL_TEST1\n"));
			GameProcessID = (int)cbin;
			HookNtOpenProcess();
			HookNtReadVirtualMemory();
			HookNtWriteVirtualMemory();
			HookNtClose();
			HookNtProtectVirtualMemory();
			HookKeStackAttachProcess();
			HookNtGetContextThread();

本文件为一个工程:


DriverProtect.rar 为Ring 3层的源码
driver.rar 为Ring 0层的驱动文件及调试用的PDB文件

然后这些代码就可以让CE正常打开进程扫描,修改游戏内存数据了!OD附加功能还在开发中。
如果有志同道合的朋友可以加我这个群一起交流:C/C++,汇编语言,驱动交流群:177822398、 177822108
本人顺便录制了一个教程去讲解代码:

http://pan.baidu.com/share/link?shareid=2793896342&uk=3155594444

 

源代码的下载地址:

http://pan.baidu.com/share/link?shareid=3466792021&uk=3155594444

好了!文章就到这里!谢谢大家!其实这代码也是比较简单的!

_绿林
关注
专栏目录
深思精锐加密锁WIN7/WIN10驱动.rar
09-03
软件介绍: 深思加密锁能够windowswindowswindows10系统上安装的驱动程序InstWiz3.exe。在WIN7以上系统上安装时,需要以右键--管理员权限身份运行。
HackShield 保护研究
LLC
09-12 589
http://hi.baidu.com/msn1900/item/cc7c4b37b00c7ed36c15e94a
ring3 下挂钩Native API 简单实现文件防删除
09-26 1042
简单实现文件防删除,说简单是因为没有用很底层的技术,例如文件驱动之类。我只用最简单的方法实现了, 使用 ring3 的API hook 技术。随着技术的发展这种技术已经过不了很多的主动防御技术了。主要是思路和方法和分析过程。(高手飘过)ring3 下挂钩 API 基本上也就是修改导入表,和Inline hook 修改前5个字节这几种方法。挂钩Native API 没有什么区别,也就是多声明几个结构
[Windows内核源码分析3] 引导过程(安全管理器初始化在Phase0部分的分析)
輚至消亡
10-07 599
本文章记录分析安全管理器在windows系统引导的阶段0中的初始化工作。主要是SeInitSystem函数。进入后内部调用的实际上是。
DLL的绑定进程和解绑定进程引起的死锁
justin_bkdrong的专栏
08-31 4516
DLL的绑定和解绑定其实操作系统做了很多的工作,资源的分配和资源的释放,我们在使用的过程中,一不小心就会中招,这里说一下我遇到的一个死锁的问题。
APIHOOK之在NT系列操作系统里让自己“消失”中2
sanshao27的专栏
05-18 1150
在NT系列操作系统里让自己“消失”中2007-03-31 09:04 =====[ 7.2 全局挂钩 ]=======================================     枚举进程通过前面提到的API函数NtQuerySystemInformation来完成。因为系统中还有一些内部na
Arduino电机驱动库,Adafruit-Motor-Shield-library-master.zip
04-12
Arduino电机驱动库,如Adafruit-Motor-Shield-library-master,是专门为Arduino开发板设计的一套软件资源,用于方便用户控制各种类型的电机。这个库由Adafruit公司提供,它支持多种电机驱动器,如直流电机、步进电机...
Cheat Engine5.4{改版过NP TP TS驱动保护}
03-02
在本案例中,我们讨论的是一个特别版本的Cheat Engine 5.4,它已经经过了NP(No Protection)、TP(Tibia Protection)和TS(Trainer Shield)的保护改造。这些保护机制是为了防止Cheat Engine被反作弊系统或游戏...
hackeeg-shield-1-master_hack_EEG_ADS1299_
09-29
标题中的“hackeeg-shield-1-master_hack_EEG_ADS1299_”表明这是一个关于EEG(脑电图) shield 的项目,基于TI公司的ADS1299芯片,且处于开发的master分支。这个项目可能是为了黑客马拉松或者爱好者社区设计,允许...
vibration-sensor_arduinogsm_proteuslib*_
10-03
在编程时,我们需要包含相应的GSM库,比如Arduino的GSM Shield库,以实现与模块的交互。 接下来,振动传感器的使用需要理解其工作原理。常见的振动传感器如加速度计或陀螺仪,它们可以测量三个轴向的加速度或旋转...
易语言无模块注入_针对银行木马BokBot核心模块的深入分析
weixin_39707201的博客
11-22 2603
一、概述BokBot恶意软件由LUNAR SPIDER恶意组织开发和运营,在2017年首次出现,CrowdStrike的Falcon Overwatch和Falcon Intelligenc团队对被感染主机进行了分析。最近,由于借助MUMMY SPIDER恶意组织的Emotet恶意软件进行分发活动,BokBot的感染数量又有所增加。BokBot恶意软件具有强大的功能,分为命令和控制、模...
XX游戏R3层反调试 初探
把梦想放飞在蓝色的天空里...
12-24 8612
转载于织梦未来 本机环境:win7 64位 首先用工具PC Hunter 来查看下应用层钩子   首先直接映入眼帘的就是DbgBreakPoint,DbgUiRemoteBreakin,DbgUserBreakPoint 这三个inline hook 对反调试做得手脚     len(1) ntdll.dll->DbgBreakPoint                0
多线程锁详解之【WaitForSingleObject】
qq492927689的博客
06-04 3680
WaitForSingleObject
Rtl系列函数
huanongying131的博客
11-19 2501
转:http://blog.sina.com.cn/s/blog_4a1acc7f0100cfuf.html        http://blog.sina.com.cn/s/blog_4a1acc7f0100cfui.html         375  170 000375D9 RtlAbortRXact         376  171 00029E38 RtlAbsoluteToSelf...
IcedID恶意软件原理分析(一):脱壳、挂钩和进程注
systemino的博客
07-25 833
概述 IcedID是一种银行木马,该木马在浏览器上执行Web注入,并作为监测并操纵流量的代理。该木马能够窃取受害者的信息,例如凭据。然后,会将被窃取的信息发送到远程服务器。 最近,FortiGuard Labs团队开始对一些IcedID样本进行分析。在本系列文章中,我将详细分析新的IcedID恶意软件样本,本系列将分为三个部分。 ·第一部分:脱壳、挂钩和进程注入 ·第二部分:IcedI...
std::mutex (互斥量内部实现SRWLOCK)
杰克东的专栏
04-25 2492
注意:mutex windows vista 以上系统用SRWLOCK 实现,winxp用的是参考 rtlocks.cpp critical_section 调用InterlockedCompareExchangePointer 来实现的 Windows 7下 + vs2015 微软最新c++11 std::mutex 内部实现剖析 一、 先说说微软c++11 里面实现的代码,...
枚举SSDT 系统服务表中的函数地址
qinqin772的博客
01-02 1967
网上关于SSDT的有很多的博客可以参考,我就不啰嗦了直接上码 #include //SSDT服务表中,各项对应的函数名称,@num 代表参数*4的大小 char* funcName[] = { "NtAcceptConnectPort@24 ", "NtAccessCheck@32 ",
Windows Native API分类列表
温研的专栏 (探索OS内核的奥秘)
02-16 6112
Special Files   These APIs are used to create fil
vc++ hook 拦截自己进程指定的api函数_自己动手制作一个过保护调试器
weixin_39908263的博客
11-26 1122
一、起因第一次接触驱动开发的小白,事情是这样的,一个星期前突发奇想想做一个腻o调试器保护程序用于调试游戏,既然要调试驱动保护的程序,自然也要深入驱动底层做调试器必须要hook api去隐藏调试器的参数 所以就有了今天这篇文章。二、准备的东西第一个版本的调试器保护程序就是今天要说的用到ETW(Event Tracing for Windows)hook 去Hook api 实现隐藏参数...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值