-=R00F=-
13.02.2012, 18:25
Разглядывая намедни pb.exe
подтвердил свои мысли что frost читает в реестре раздел AppInit_DLLs
и значит проверяет что через реестр инжектится и за это банит
кусок кода
Type = 1;
Data = 0;
memset(&v26, 0, 0x3FFu);
cbData = 1024;
if ( RegQueryValueExA(hKey, "AppInit_DLLs", 0, &Type, &Data, &cbData) )
{
RegCloseKey(hKey);
v7 = 0;
*(_DWORD *)(a1 + 20) = 15;
*(_DWORD *)(a1 + 16) = 0;
*(_BYTE *)a1 = 0;
v6 = (char *)&unk_624EDE;
}
else
{
RegCloseKey(hKey);
v3 = &Data;
*(_DWORD *)(a1 + 20) = 15;
*(_DWORD *)(a1 + 16) = 0;
*(_BYTE *)a1 = 0;
do
v4 = *v3++;
while ( v4 );
v7 = v3 - (BYTE *)&v26;
v6 = (char *)&Data;
тоже статейка с подполья ftp
подтвердил свои мысли что frost читает в реестре раздел AppInit_DLLs
и значит проверяет что через реестр инжектится и за это банит
кусок кода
Type = 1;
Data = 0;
memset(&v26, 0, 0x3FFu);
cbData = 1024;
if ( RegQueryValueExA(hKey, "AppInit_DLLs", 0, &Type, &Data, &cbData) )
{
RegCloseKey(hKey);
v7 = 0;
*(_DWORD *)(a1 + 20) = 15;
*(_DWORD *)(a1 + 16) = 0;
*(_BYTE *)a1 = 0;
v6 = (char *)&unk_624EDE;
}
else
{
RegCloseKey(hKey);
v3 = &Data;
*(_DWORD *)(a1 + 20) = 15;
*(_DWORD *)(a1 + 16) = 0;
*(_BYTE *)a1 = 0;
do
v4 = *v3++;
while ( v4 );
v7 = v3 - (BYTE *)&v26;
v6 = (char *)&Data;
тоже статейка с подполья ftp