شكرا على تمارينك المستمرة، انشغلت قليلا الأيام الماضية.
يبدو أن البرنامج يقوم بالتالي
تعديل: يبدو أني تعجلت في كتابة التالي... فالاصطلاح محدد مسبقا للدالة في kernelbase.dll ولا يمكننا تغييره، أليس كذلك؟
لست متأكداً إذا كان هذا يفيد ولكن بالنظر لاستدعاء الدالة CreateEventA فاستدعاؤها يتبع ال Microsoft x64 convension ولكني لست متأكدا إذا كانت جميع ال compilers تتبع نفس الاصطلاح عند بناء البرامج ل Windows x64 أو إذا كان من الممكن تغيير اصطلاح الاستدعاء كما في x86.
(10-09-2021, 03:17 PM)overlap كتب : - تحليله و فهم ما يقوم به.
يبدو أن البرنامج يقوم بالتالي
CreateEventA(NULL, TRUE, FALSE, "at4re");
while(true);
(10-09-2021, 03:17 PM)overlap كتب : - تحديد لغة البرمجة التي كتب بها و الأدوات التي تم استعمالها.لم أعرف بعد، يبدو أن البرنامج قد جرد من أي دليل، فلا أقسام إضافية أو نصوص (strings) تعطي تلميحات إلى ال compiler، كذلك يبدو أنه تم تغيير قيم ال Major Linker Version و ال Minor Linker Version في ال Optional Header إلى 0.
تعديل: يبدو أني تعجلت في كتابة التالي... فالاصطلاح محدد مسبقا للدالة في kernelbase.dll ولا يمكننا تغييره، أليس كذلك؟
لست متأكداً إذا كان هذا يفيد ولكن بالنظر لاستدعاء الدالة CreateEventA فاستدعاؤها يتبع ال Microsoft x64 convension ولكني لست متأكدا إذا كانت جميع ال compilers تتبع نفس الاصطلاح عند بناء البرامج ل Windows x64 أو إذا كان من الممكن تغيير اصطلاح الاستدعاء كما في x86.