{"id":261239,"date":"2015-07-13T06:21:02","date_gmt":"2015-07-13T02:21:02","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=261239"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=261239","title":{"rendered":"\u0420\u0435\u0432\u0435\u0440\u0441 AGTH \u0434\u043b\u044f \u0432\u043e\u0441\u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0430\u043b\u044c\u0442\u0435\u0440\u043d\u0430\u0442\u0438\u0432\u043d\u043e\u0433\u043e GUI"},"content":{"rendered":"

\t\u0422\u0430\u043a \u043a\u0430\u043a \u0442\u0435\u043c\u0430 \u0440\u0435\u0432\u0435\u0440\u0441 \u0438\u043d\u0436\u0438\u043d\u0438\u0440\u0438\u043d\u0433\u0430 \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u0430 \u043d\u0430 \u0445\u0430\u0431\u0440\u0435, \u044f \u0440\u0435\u0448\u0438\u043b \u043f\u043e\u0434\u0435\u043b\u0438\u0442\u044c\u0441\u044f \u0441\u0432\u043e\u0438\u043c\u0438 \u043d\u0430\u0440\u0430\u0431\u043e\u0442\u043a\u0430\u043c\u0438 \u043f\u043e \u044d\u0442\u043e\u0439 \u0442\u0435\u043c\u0435.
\u041c\u043d\u0435, \u043a\u0430\u043a \u0438 \u043c\u043d\u043e\u0433\u0438\u043c \u043b\u044e\u0431\u0438\u0442\u0435\u043b\u044f\u043c \u0432\u0438\u0437\u0443\u0430\u043b\u044c\u043d\u044b\u0445 \u043d\u043e\u0432\u0435\u043b\u043b<\/a> \u0437\u043d\u0430\u043a\u043e\u043c\u0430 \u0442\u0430\u043a\u0430\u044f \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0430 \u043a\u0430\u043a AGTH (Anime-Game-Text-Hooker)<\/a>. \u041e\u043d\u0430 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0438\u0437\u0432\u043b\u0435\u043a\u0430\u0442\u044c \u0442\u0435\u043a\u0441\u0442 \u0438\u0437 \u043d\u043e\u0432\u0435\u043b\u043b \u0434\u043b\u044f \u043f\u043e\u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0433\u043e \u043f\u0435\u0440\u0435\u0432\u043e\u0434\u0430(\u0431\u043e\u043b\u044c\u0448\u0438\u043d\u0441\u0442\u0432\u043e \u0438\u0433\u0440 \u2013 \u044f\u043f\u043e\u043d\u0441\u043a\u0438\u0435). \u0420\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0430 \u044d\u0442\u043e\u0439 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b, \u0441\u0443\u0434\u044f \u043f\u043e \u0432\u0441\u0435\u043c\u0443, \u0431\u044b\u043b\u0430 \u043f\u0440\u0435\u043a\u0440\u0430\u0449\u0435\u043d\u0430 \u0435\u0449\u0451 \u0432 2011\u043c \u0433\u043e\u0434\u0443, \u0438\u0441\u0445\u043e\u0434\u043d\u0438\u043a\u043e\u0432 \u043d\u0430\u0439\u0442\u0438 \u043d\u0435 \u0443\u0434\u0430\u043b\u043e\u0441\u044c, \u0430 \u0442\u0430\u043a \u043a\u0430\u043a \u0434\u0443\u0448\u0430 \u0445\u043e\u0442\u0435\u043b\u0430 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u0444\u0438\u0447, \u0431\u044b\u043b\u043e \u043f\u0440\u0438\u043d\u044f\u0442\u043e \u0440\u0435\u0448\u0435\u043d\u0438\u0435 \u043e\u0442\u0440\u0435\u0432\u0435\u0440\u0441\u0438\u0442\u044c \u044d\u0442\u0443 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0443 \u0438 \u043d\u0430 \u043e\u0441\u043d\u043e\u0432\u0435 \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u0432\u043e\u0441\u0441\u043e\u0437\u0434\u0430\u0442\u044c \u0430\u043b\u044c\u0442\u0435\u0440\u043d\u0430\u0442\u0438\u0432\u043d\u0443\u044e \u043e\u0431\u043e\u043b\u043e\u0447\u043a\u0443 \u0441\u043e \u0432\u0441\u0435\u043c\u0438 \u043d\u0435\u0434\u043e\u0441\u0442\u0430\u044e\u0449\u0438\u043c\u0438 \u043c\u043d\u0435 \u0444\u0443\u043d\u043a\u0446\u0438\u044f\u043c\u0438.
<\/a>
\u041e\u0440\u0438\u0433\u0438\u043d\u0430\u043b\u044c\u043d\u0430\u044f \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0430 \u0441\u043e\u0441\u0442\u043e\u0438\u0442 \u0438\u0437 \u0434\u0432\u0443\u0445 \u0447\u0430\u0441\u0442\u0435\u0439 \u2013 \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430 \u0438 \u043c\u043e\u0434\u0443\u043b\u044f \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u0430 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u043d\u043e\u0433\u043e \u0432 \u0432\u0438\u0434\u0435 \u0434\u0438\u043d\u0430\u043c\u0438\u0447\u0435\u0441\u043a\u043e\u0439 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438. \u042d\u0442\u0443 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0443 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0430 \u0432\u043d\u0435\u0434\u0440\u044f\u0435\u0442 \u0432 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 \u0438\u0433\u0440\u044b \u0438 \u0441 \u0435\u0451 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442 \u043e\u0442\u0442\u0443\u0434\u0430 \u0442\u0435\u043a\u0441\u0442.
\u0420\u0435\u0432\u0435\u0440\u0441\u0438\u0442\u044c \u0438 \u043f\u0435\u0440\u0435\u043f\u0438\u0441\u044b\u0432\u0430\u0442\u044c \u044f \u0431\u0443\u0434\u0443 \u043b\u0438\u0448\u044c \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0439 \u0444\u0430\u0439\u043b, \u0430 \u043c\u043e\u0434\u0443\u043b\u044c \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u0430 \u043e\u0441\u0442\u0430\u0432\u043b\u044e \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b\u044c\u043d\u044b\u0439. \u041d\u0430 \u044d\u0442\u043e \u0435\u0441\u0442\u044c \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u043f\u0440\u0438\u0447\u0438\u043d. \u041f\u043e\u043c\u0438\u043c\u043e \u043e\u0447\u0435\u0432\u0438\u0434\u043d\u043e\u0439 \u0441\u043b\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u043c\u043e\u0434\u0443\u043b\u044f \u0438 \u043f\u0440\u0438\u0441\u0443\u0449\u0435\u0439 \u043c\u043d\u0435 \u043b\u0435\u043d\u0438, \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0442\u044c \u0441\u043e\u0432\u043c\u0435\u0441\u0442\u0438\u043c\u043e\u0441\u0442\u044c \u043c\u043e\u0435\u0439 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0438 \u0441 \u0442\u0430\u043a \u043d\u0430\u0437\u044b\u0432\u0430\u0435\u043c\u044b\u043c\u0438 H-\u043a\u043e\u0434\u0430\u043c\u0438. H-\u043a\u043e\u0434 \u2014 \u044d\u0442\u043e \u043d\u0430\u0431\u043e\u0440 \u0434\u0430\u043d\u043d\u044b\u0445 \u043d\u0443\u0436\u043d\u044b\u0439 \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u0447\u0438\u043a\u0443 \u0434\u043b\u044f \u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u043e\u0439 \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0438 \u0445\u0443\u043a\u0430 \u0432 \u0441\u043b\u0443\u0447\u0430\u0435, \u043a\u043e\u0433\u0434\u0430 \u0434\u0435\u0444\u043e\u043b\u0442\u043d\u044b\u0435 \u0445\u0443\u043a\u0438 \u043d\u0435\u044d\u0444\u0444\u0435\u043a\u0442\u0438\u0432\u043d\u044b. \u041e\u043d \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u0432 \u0441\u0435\u0431\u0435 \u0430\u0434\u0440\u0435\u0441\u0430 \u043f\u0430\u043c\u044f\u0442\u0438, \u043d\u043e\u043c\u0435\u0440\u0430 \u0440\u0435\u0433\u0438\u0441\u0442\u0440\u043e\u0432 \u0438 \u043f\u0440\u043e\u0447\u0443\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043e \u043c\u0435\u0441\u0442\u043e\u043d\u0430\u0445\u043e\u0436\u0434\u0435\u043d\u0438\u0438 \u0442\u0435\u043a\u0441\u0442\u0430 \u0432 \u0438\u0433\u0440\u0435. \u0414\u043b\u044f \u043a\u0430\u0436\u0434\u043e\u0439 \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u043e\u0439 \u0438\u0433\u0440\u044b \u044d\u0442\u043e\u0442 \u043a\u043e\u0434 \u0443\u043d\u0438\u043a\u0430\u043b\u0435\u043d \u0438 \u043d\u0430\u0439\u0434\u0435\u043d \u044d\u043d\u0442\u0443\u0437\u0438\u0430\u0441\u0442\u0430\u043c\u0438. \u041f\u043e\u044d\u0442\u043e\u043c\u0443 \u043d\u0430\u043f\u0438\u0441\u0430\u0442\u044c \u0441\u0432\u043e\u0439 \u043c\u043e\u0434\u0443\u043b\u044c \u0442\u0430\u043a \u0441\u043a\u0430\u0437\u0430\u0442\u044c \u00ab\u043f\u043e \u043c\u043e\u0442\u0438\u0432\u0430\u043c\u00bb \u2014 \u043d\u0435 \u0432\u044b\u0439\u0434\u0435\u0442. \u041d\u0443\u0436\u043d\u043e \u0431\u0443\u0434\u0435\u0442 \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0442\u044c \u043f\u043e\u043b\u043d\u0443\u044e \u0441\u043e\u0432\u043c\u0435\u0441\u0442\u0438\u043c\u043e\u0441\u0442\u044c \u043f\u043e \u044d\u0442\u0438\u043c \u043a\u043e\u0434\u0430\u043c, \u0430 \u044d\u0442\u043e \u0441\u043e\u0432\u0441\u0435\u043c \u0434\u0440\u0443\u0433\u043e\u0439 \u0443\u0440\u043e\u0432\u0435\u043d\u044c \u0441\u043b\u043e\u0436\u043d\u043e\u0441\u0442\u0438. \u0414\u0430 \u0438 \u043d\u0438\u043a\u0430\u043a\u0438\u0445 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u043f\u0440\u0435\u0438\u043c\u0443\u0449\u0435\u0441\u0442\u0432 \u044d\u0442\u043e \u043d\u0435 \u0434\u0430\u0441\u0442.<\/p>\n

\u0420\u0430\u0437\u0431\u043e\u0440 \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0430 \u043e\u0431\u0449\u0435\u043d\u0438\u044f \u043c\u043e\u0434\u0443\u043b\u044f \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u0430 \u0438 AGTH<\/h2>\n

\u041e\u0447\u0435\u0432\u0438\u0434\u043d\u043e, \u0447\u0442\u043e \u043c\u043e\u0434\u0443\u043b\u044c \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u0430 \u0432 \u0438\u0433\u0440\u0435 \u0438 AGTH \u043a\u0430\u043a-\u0442\u043e \u0432\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0443\u044e\u0442 \u043c\u0435\u0436\u0434\u0443 \u0441\u043e\u0431\u043e\u0439, \u0438 \u0434\u043b\u044f \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u0438\u044f \u0430\u043b\u044c\u0442\u0435\u0440\u043d\u0430\u0442\u0438\u0432\u043d\u043e\u0439 \u043e\u0431\u043e\u043b\u043e\u0447\u043a\u0438 \u043d\u0443\u0436\u043d\u043e \u0443\u0437\u043d\u0430\u0442\u044c \u043a\u0430\u043a. \u0421\u043f\u043e\u0441\u043e\u0431\u043e\u0432 \u043f\u0435\u0440\u0435\u0434\u0430\u0442\u044c \u0434\u0430\u043d\u043d\u044b\u0435 \u043e\u0442 \u043e\u0434\u043d\u043e\u0439 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b \u043a \u0434\u0440\u0443\u0433\u043e\u0439 \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u043c\u043d\u043e\u0433\u043e, \u043d\u0430\u0447\u0438\u043d\u0430\u044f \u043e\u0442 \u043e\u043a\u043e\u043d\u043d\u044b\u0445 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0439 \u0438 \u0437\u0430\u043a\u0430\u043d\u0447\u0438\u0432\u0430\u044f \u0441\u043e\u043a\u0435\u0442\u0430\u043c\u0438. \u041a\u0430\u043a\u043e\u0439 \u0436\u0435 \u0441\u043f\u043e\u0441\u043e\u0431 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d \u043d\u0430 \u0441\u0430\u043c\u043e\u043c \u0434\u0435\u043b\u0435 \u044f \u0443\u0437\u043d\u0430\u043b \u0441\u043b\u0443\u0447\u0430\u0439\u043d\u043e. \u041f\u0440\u043e\u0441\u0442\u043e \u0437\u0430\u0448\u0435\u043b \u0432 \u0441\u0432\u043e\u0439\u0441\u0442\u0432\u0430 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 agth.exe \u0447\u0435\u0440\u0435\u0437 Process Explorer<\/a> \u0438 \u0440\u0435\u0448\u0438\u043b \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c, \u043a\u0430\u043a\u0438\u0435 \u0441\u0442\u0440\u043e\u043a\u0438 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u044d\u0442\u0430 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0430.<\/p>\n

<\/p>\n

\u0412 \u0433\u043b\u0430\u0437\u0430 \u0441\u0440\u0430\u0437\u0443 \u0431\u0440\u043e\u0441\u0438\u043b\u0430\u0441\u044c \u0441\u0442\u0440\u043e\u043a\u0430 "\\\\.\\pipe\\agth" \u2014 \u0442\u0430\u043a \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043a\u0430\u043d\u0430\u043b<\/a>, \u0430 \u0437\u043d\u0430\u0447\u0438\u0442 \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u043e\u0436\u0438\u0442\u044c, \u0447\u0442\u043e AGTH \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u043f\u0430\u0439\u043f\u044b \u0434\u043b\u044f \u043e\u0431\u0449\u0435\u043d\u0438\u044f \u0441 \u0438\u0433\u0440\u043e\u0439. \u0422\u0435\u043f\u0435\u0440\u044c \u0443 \u043d\u0430\u0441 \u0435\u0441\u0442\u044c \u043d\u0430\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435, \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0447\u0438\u043d\u0430\u0442\u044c \u043f\u043e\u0438\u0441\u043a\u0438. \u0414\u043b\u044f \u043e\u0442\u043b\u0430\u0434\u043a\u0438 \u044f \u0431\u0443\u0434\u0443 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u043b\u044e\u0431\u0438\u043c\u044b\u0439 \u043c\u043d\u043e\u0433\u0438\u043c\u0438 \u043e\u0442\u043b\u0430\u0434\u0447\u0438\u043a OllyDbg<\/a>.
\u0417\u0430\u0433\u0440\u0443\u0437\u0438\u043c AGTH \u0432 \u00ab\u041e\u043b\u044e\u00bb \u0438 \u0441\u0440\u0430\u0437\u0443 \u043f\u043e\u0441\u0442\u0430\u0432\u0438\u043c \u0431\u0440\u044f\u043a\u0438 \u043d\u0430 CreateNamedPipe*<\/b> \u0444\u0443\u043d\u043a\u0446\u0438\u0438 \u0432\u043d\u0443\u0442\u0440\u0438 \u043c\u043e\u0434\u0443\u043b\u044f kernel32<\/b>. \u041e\u0434\u0438\u043d \u0438\u0437 \u044d\u0442\u0438\u0445 \u0431\u0440\u044f\u043a\u043e\u0432 \u0434\u043e\u043b\u0436\u0435\u043d \u0441\u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u043a\u0430\u043a \u0442\u043e\u043b\u044c\u043a\u043e \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0430 \u043f\u043e\u043f\u044b\u0442\u0430\u0435\u0442\u0441\u044f \u0441\u043e\u0437\u0434\u0430\u0442\u044c \u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043a\u0430\u043d\u0430\u043b \u0438 \u0438\u0437 \u044d\u0442\u043e\u0439 \u0442\u043e\u0447\u043a\u0438 \u043c\u043e\u0436\u043d\u043e \u0431\u0443\u0434\u0435\u0442 \u0434\u043e\u0431\u0440\u0430\u0442\u044c\u0441\u044f \u0434\u043e \u043a\u043e\u0434\u0430 \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0441 \u044d\u0442\u0438\u043c\u0438 \u043f\u0430\u0439\u043f\u0430\u043c\u0438 \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442.<\/p>\n

<\/p>\n

\u041f\u0440\u043e\u0434\u043e\u043b\u0436\u0438\u043c \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435 \u0438 \u0441\u043e \u0432\u0442\u043e\u0440\u043e\u0433\u043e \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u044f \u0431\u0440\u044f\u043a\u0430 \u043f\u043e\u043f\u0430\u0434\u0430\u0435\u043c \u0432 \u043d\u0443\u0436\u043d\u043e\u0435 \u043c\u0435\u0441\u0442\u043e. \u041e \u0442\u043e\u043c, \u0447\u0442\u043e \u044d\u0442\u043e \u043c\u0435\u0441\u0442\u043e \u043d\u0443\u0436\u043d\u043e\u0435 \u0433\u043e\u0432\u043e\u0440\u0438\u0442 \u043d\u0430\u043c \u043d\u0430\u043b\u0438\u0447\u0438\u0435 \u0441\u0442\u0440\u043e\u043a\u0438 "\\\\.\\pipe\\agth" \u043d\u0430 \u0441\u0442\u0435\u043a\u0435. <\/p>\n

<\/p>\n

\u0422\u0435\u043f\u0435\u0440\u044c \u043f\u0435\u0440\u0435\u0439\u0434\u0451\u043c \u043f\u043e \u0430\u0434\u0440\u0435\u0441\u0443 0x00AF3A64<\/b>, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043b\u0435\u0436\u0438\u0442 \u043d\u0430 \u0432\u0435\u0440\u0448\u0438\u043d\u0435 \u0441\u0442\u0435\u043a\u0430 \u0438 \u0434\u043e\u043b\u0436\u0435\u043d \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0442\u044c \u043d\u0430 \u043a\u043e\u0434 \u0441\u0440\u0430\u0437\u0443 \u0437\u0430 \u0432\u044b\u0437\u043e\u0432\u043e\u043c CreateNamedPipeW<\/b>. <\/p>\n

001B3A43   > 56             PUSH ESI ; 0x0 00AF3A44   . 6A 00          PUSH 0 00AF3A46   . 68 00000200    PUSH 20000 00AF3A4B   . 6A 00          PUSH 0 00AF3A4D   . 68 FF000000    PUSH 0FF 00AF3A52   . 6A 06          PUSH 6 00AF3A54   . 68 01000840    PUSH 40080001 00AF3A59   . 68 A026AF00    PUSH agth.00AF26A0                       ;  UNICODE "\\\\.\\pipe\\agth" 00AF3A5E   . FF15 4010AF00  CALL DWORD PTR DS:[<&KERNEL32.CreateName>;  kernel32.CreateNamedPipeW 00AF3A64   . 8BF8           MOV EDI,EAX 00AF3A66   . EB 03          JMP SHORT agth.00AF3A6B <\/code><\/pre>\n
  \u0422\u0443\u0442 \u0443\u0436\u0435 \u043c\u043e\u0436\u043d\u043e \u0440\u0430\u0437\u043e\u0431\u0440\u0430\u0442\u044c \u0441 \u043a\u0430\u043a\u0438\u043c\u0438 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u0430\u043c\u0438 \u043d\u0430\u0448 \u043f\u0430\u0439\u043f \u0441\u043e\u0437\u0434\u0430\u0451\u0442\u0441\u044f, \u0430 \u0438\u043c\u0435\u043d\u043d\u043e:  <\/p>\n
CreateNamedPipeW("\\\\.\\pipe\\agth", 40080001, 6, 0xFF, 0, 0x20000, 0, NULL);<\/code><\/pre>\n
  \u0412\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u0441\u044f \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430\u0446\u0438\u0435\u0439 <\/a>\u0438 \u0440\u0430\u0437\u0432\u0435\u0440\u043d\u0451\u043c \u043c\u0430\u0433\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u0447\u0438\u0441\u043b\u0430 \u0432 \u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u043a\u043e\u043d\u0441\u0442\u0430\u043d\u0442\u044b. \u041f\u043e\u043b\u0443\u0447\u0438\u0442\u0441\u044f \u0442\u0430\u043a:  <\/p>\n
CreateNamedPipeW("\\\\.\\pipe\\agth", PIPE_ACCESS_INBOUND | FILE_FLAG_OVERLAPPED | FILE_FLAG_FIRST_PIPE_INSTANCE, PIPE_WAIT | PIPE_READMODE_MESSAGE | PIPE_TYPE_MESSAGE, 0xFF, 0, 0x20000, 0, NULL);<\/code><\/pre>\n
  \u041f\u0440\u043e\u0431\u0435\u0436\u0430\u0432 \u043f\u043e \u043a\u043e\u0434\u0443 \u0447\u0443\u0442\u044c \u043d\u0438\u0436\u0435 \u043c\u043e\u0436\u043d\u043e \u0432\u0441\u0442\u0440\u0435\u0442\u0438\u0442\u044c \u0432\u044b\u0437\u043e\u0432 \u0444\u0443\u043d\u043a\u0446\u0438\u0439 ConnectNamedPipe <\/b>\u0438 WaitForMultipleObjects <\/b>, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043e\u0436\u0438\u0434\u0430\u0435\u0442 \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u043e\u0442 \u0441\u043e\u0437\u0434\u0430\u043d\u043d\u043e\u0433\u043e \u043f\u0430\u0439\u043f\u0430. <\/p>\n
  <\/p>\n
  \u0425\u043e\u0440\u043e\u0448\u043e, \u0442\u0435\u043f\u0435\u0440\u044c \u043d\u0443\u0436\u043d\u043e \u0443\u0437\u043d\u0430\u0442\u044c, \u043a\u0430\u043a \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u0447\u0442\u0435\u043d\u0438\u0435 \u0434\u0430\u043d\u043d\u044b\u0445, \u0430 \u0442\u043e\u0447\u043d\u0435\u0435 \u043a\u0430\u043a\u043e\u0432 \u0440\u0430\u0437\u043c\u0435\u0440 \u0431\u043b\u043e\u043a\u0430 \u0434\u0430\u043d\u043d\u044b\u0445, \u043f\u0435\u0440\u0435\u0434\u0430\u0432\u0430\u0435\u043c\u043e\u0433\u043e \u043e\u0442 \u0438\u0433\u0440\u044b \u043a \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044e. \u041e \u0442\u043e\u043c, \u0447\u0442\u043e \u0434\u0430\u043d\u043d\u044b\u0435 \u043f\u0435\u0440\u0435\u0434\u0430\u044e\u0442\u0441\u044f \u0431\u043b\u043e\u043a\u0430\u043c\u0438, \u0430 \u043d\u0435 \u043d\u0435\u043f\u0440\u0435\u0440\u044b\u0432\u043d\u044b\u043c \u043f\u043e\u0442\u043e\u043a\u043e\u043c \u0431\u0430\u0439\u0442, \u0433\u043e\u0432\u043e\u0440\u0438\u0442 \u043d\u0430\u043b\u0438\u0447\u0438\u0435 \u0444\u043b\u0430\u0433\u0430 PIPE_TYPE_MESSAGE<\/b> \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u043e\u0435 \u043f\u0440\u0438 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0438 \u043a\u0430\u043d\u0430\u043b\u0430.
   \u041b\u0435\u0433\u043a\u043e \u0437\u0430\u043c\u0435\u0442\u0438\u0442\u044c, \u0447\u0442\u043e \u043f\u043e\u0441\u043b\u0435 \u0442\u043e\u0433\u043e, \u043a\u0430\u043a WaitForMultipleObjects <\/b>\u0432\u0435\u0440\u043d\u0451\u0442 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435, \u0431\u0443\u0434\u0435\u0442 \u0441\u043e\u0437\u0434\u0430\u043d \u043d\u043e\u0432\u044b\u0439 \u043f\u043e\u0442\u043e\u043a, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e \u0438 \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u043d\u0430 \u0441\u0432\u0435\u0436\u0435\u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u043d\u043e\u043c \u043f\u0430\u0439\u043f\u0435. \u041f\u0435\u0440\u0435\u0439\u0434\u0451\u043c \u043f\u043e \u0430\u0434\u0440\u0435\u0441\u0443 0x00CC5080<\/b>:<\/p>\n
  <\/p>\n
  \u0412\u043e\u0442 \u0438 \u0438\u0441\u043a\u043e\u043c\u0430\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u044f ReadFile<\/b>, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0432\u044b\u0437\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0441 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u0430\u043c\u0438:  <\/p>\n
0291D9B4   00000104  |hFile = 00000104 (window) 0291D9B8   0291DA78  |Buffer = 0291DA78 0291D9BC   00001FE8  |BytesToRead = 1FE8 (8168.) 0291D9C0   0291DA14  |pBytesRead = 0291DA14 0291D9C4   004C4168  \\pOverlapped = 004C4168 <\/code><\/pre>\n
  \u0418\u0445 \u044f \u0434\u043e\u0441\u0442\u0430\u043b \u0441\u043e \u0441\u0442\u0435\u043a\u0430 \u0432 \u0442\u043e\u0442 \u043c\u043e\u043c\u0435\u043d\u0442, \u043a\u043e\u0433\u0434\u0430 \u0441\u0440\u0430\u0431\u043e\u0442\u0430\u043b \u0431\u0440\u044f\u043a, \u0437\u0430\u0431\u043b\u0430\u0433\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d\u043d\u044b\u0439 \u043d\u0430 \u0432\u044b\u0437\u043e\u0432 ReadFile. \u0412 \u043e\u0431\u0449\u0435\u043c-\u0442\u043e, \u043d\u0430\u0441 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u0443\u0435\u0442 \u043b\u0438\u0448\u044c \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 BytesToRead<\/b>, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0440\u0430\u0432\u0435\u043d 8168-\u043c\u0438 \u0431\u0430\u0439\u0442\u0430\u043c. \u0412\u0435\u0440\u043e\u044f\u0442\u043d\u043e \u2013 \u044d\u0442\u043e \u0438 \u0435\u0441\u0442\u044c \u0440\u0430\u0437\u043c\u0435\u0440 \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b \u0441 \u0442\u0435\u043a\u0441\u0442\u043e\u043c, \u043a\u043e\u0442\u043e\u0440\u0443\u044e \u043f\u0435\u0440\u0435\u0434\u0430\u0451\u0442 \u0438\u0433\u0440\u0430 \u0432 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0443.<\/p>\n
  \u0412 \u0438\u0442\u043e\u0433\u0435 \u0441\u043e\u0431\u0440\u0430\u043d\u043e \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u043e \u0442\u043e\u043c, \u043a\u0430\u043a \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u0432\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435 \u0441 \u0438\u0433\u0440\u043e\u0439: AGTH \u0440\u0435\u0430\u043b\u0438\u0437\u0443\u0435\u0442 \u043f\u0430\u0439\u043f-\u0441\u0435\u0440\u0432\u0435\u0440, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u0440\u0438\u043d\u0438\u043c\u0430\u0435\u0442 \u0434\u0430\u043d\u043d\u044b\u0435 \u043a\u0443\u0441\u043a\u0430\u043c\u0438 \u043f\u043e 8168 \u0431\u0430\u0439\u0442. \u0422\u0435\u043f\u0435\u0440\u044c \u043c\u043e\u0436\u043d\u043e \u043f\u0435\u0440\u0435\u0445\u043e\u0434\u0438\u0442\u044c \u043a \u0440\u0430\u0437\u0431\u043e\u0440\u0443 \u0442\u043e\u0433\u043e, \u0447\u0442\u043e \u0436\u0435 \u044d\u0442\u0438 \u0431\u0430\u0439\u0442\u044b \u043e\u0437\u043d\u0430\u0447\u0430\u044e\u0442.<\/p>\n
  \u0420\u0430\u0437\u0431\u043e\u0440 \u0444\u043e\u0440\u043c\u0430\u0442\u0430 \u0434\u0430\u043d\u043d\u044b\u0445 \u044f \u0440\u0435\u0448\u0438\u043b \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u0443\u0436\u0435 \u0432\u043d\u0443\u0442\u0440\u0438 \u0441\u0432\u043e\u0435\u0439 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b. \u0412 \u043d\u0435\u0439 \u044f \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043b \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0439 \u0441\u0435\u0440\u0432\u0435\u0440, \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0432\u0448\u0438\u0441\u044c \u0434\u0430\u043d\u043d\u044b\u043c\u0438 \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u043d\u044b\u043c\u0438 \u0440\u0430\u043d\u0435\u0435, \u0438 \u0441 \u0435\u0433\u043e \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043f\u043e\u043b\u0443\u0447\u0430\u043b \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u044f \u043e\u0442 \u0438\u0433\u0440\u044b. \u041e\u0447\u0435\u043d\u044c \u0443\u0434\u043e\u0431\u043d\u043e \u2013 \u043c\u043e\u0436\u043d\u043e \u0437\u0430\u0432\u0435\u0441\u0442\u0438 \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u043d\u0443\u0436\u043d\u043e\u0433\u043e \u0440\u0430\u0437\u043c\u0435\u0440\u0430 \u0438 \u0432\u044b\u0447\u0438\u0442\u044b\u0432\u0430\u0442\u044c \u0434\u0430\u043d\u043d\u044b\u0435 \u043f\u0440\u044f\u043c\u043e \u0432 \u043d\u0435\u0451. \u041f\u043e \u0445\u043e\u0434\u0443 \u0440\u0430\u0437\u0431\u043e\u0440\u0430 \u0442\u043e\u0433\u043e, \u0447\u0442\u043e \u0437\u043d\u0430\u0447\u0438\u0442 \u0442\u0430 \u0438\u043b\u0438 \u0438\u043d\u0430\u044f \u0433\u0440\u0443\u043f\u043f\u0430 \u0431\u0430\u0439\u0442, \u044d\u0442\u0443 \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u043c\u043e\u0436\u043d\u043e \u043c\u043e\u0434\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0438 \u0432 \u043a\u043e\u043d\u0446\u0435 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u043f\u043e\u043b\u043d\u043e\u0435 \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u0432\u0441\u0435\u0445 \u043f\u043e\u043b\u0435\u0439.<\/p>\n
  <\/p>\n
  \u0412\u043e\u0442 \u043f\u0440\u0438\u043c\u0435\u0440\u043d\u043e \u0442\u0430\u043a \u0432\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u0442\u043e, \u0447\u0442\u043e \u043f\u0440\u0438\u0445\u043e\u0434\u0438\u0442 \u0432 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0443 \u0438\u0437 \u0438\u0433\u0440\u044b. \u0421\u0440\u0430\u0437\u0443 \u0431\u0440\u043e\u0441\u0430\u044e\u0442\u0441\u044f \u0432 \u0433\u043b\u0430\u0437\u0430 \u0441\u0442\u0440\u043e\u043a\u0438 UserHookQ \u0438 K.o.t.a.r.o.u. \u041f\u0435\u0440\u0432\u0430\u044f \u2014 \u0438\u043c\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u0438, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u043e\u0442\u043e\u0431\u0440\u0430\u0436\u0430\u0435\u0442\u0441\u044f \u0432 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b\u044c\u043d\u043e\u0439 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0435, \u0432\u0442\u043e\u0440\u043e\u0435 \u2014 \u0442\u0435\u043a\u0441\u0442 \u0438\u0437 \u0438\u0433\u0440\u044b \u0432 \u043a\u043e\u0434\u0438\u0440\u043e\u0432\u043a\u0435 UTF-16. \u0422\u0430\u043a\u0436\u0435 \u0437\u0430\u043c\u0435\u0447\u0435\u043d\u043e \u0447\u0438\u0441\u043b\u043e 7 (\u0441\u0438\u043d\u0435\u0435 \u0432\u044b\u0434\u0435\u043b\u0435\u043d\u0438\u0435) \u043a\u043e\u0442\u043e\u0440\u043e\u0435, \u043a\u0430\u043a \u043e\u043a\u0430\u0437\u0430\u043b\u043e\u0441\u044c, \u0432\u0441\u0435\u0433\u0434\u0430 \u0440\u0430\u0432\u043d\u043e \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u0443 \u0441\u0438\u043c\u0432\u043e\u043b\u043e\u0432 \u0441\u0442\u0440\u043e\u043a\u0438 \u0438\u0433\u0440\u043e\u0432\u043e\u0433\u043e \u0442\u0435\u043a\u0441\u0442\u0430. \u041f\u0435\u0440\u0435\u0431\u0438\u0440\u0430\u044f \u0440\u0430\u0437\u043d\u044b\u0435 \u043d\u0430\u0431\u043e\u0440\u044b \u0434\u0430\u043d\u043d\u044b\u0445 \u0432\u044b\u044f\u0441\u043d\u0438\u043b\u043e\u0441\u044c, \u0447\u0442\u043e \u0438\u043c\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u0438 \u2014 \u044d\u0442\u043e null-terminated \u0441\u0442\u0440\u043e\u043a\u0430 \u0441 \u043c\u0430\u043a\u0441\u0438\u043c\u0430\u043b\u044c\u043d\u043e\u0439 \u0434\u043b\u0438\u043d\u043d\u043e\u0439 \u0432 24 \u0441\u0438\u043c\u0432\u043e\u043b\u0430. \u0422\u043e \u0435\u0441\u0442\u044c, \u0432 \u0441\u043b\u0443\u0447\u0430\u0435 \u0441\u043e \u0441\u043a\u0440\u0438\u043d\u0448\u043e\u0442\u043e\u043c \u0432\u044b\u0448\u0435, \u0432\u0441\u0435 \u0431\u0430\u0439\u0442\u044b \u043c\u0435\u0436\u0434\u0443 \u0437\u0435\u043b\u0451\u043d\u044b\u043c \u0438 \u0441\u0438\u043d\u0438\u043c \u0432\u044b\u0434\u0435\u043b\u0435\u043d\u0438\u0435\u043c \u2014 \u043f\u0440\u043e\u0441\u0442\u043e \u043c\u0443\u0441\u043e\u0440. \u041e\u0441\u0442\u0430\u043b\u043e\u0441\u044c \u0435\u0449\u0451 16 \u0431\u0430\u0439\u0442 \u0434\u0430\u043d\u043d\u044b\u0445 \u0432 \u043d\u0430\u0447\u0430\u043b\u0435 \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b. \u041f\u0435\u0440\u0432\u044b\u0435 \u0434\u0432\u0435 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0435 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u0442\u044c \u0431\u044b\u043b\u043e \u043b\u0435\u0433\u043a\u043e \u2014 \u044d\u0442\u043e Context \u0438 Subcontext, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0442\u0430\u043a\u0436\u0435 \u043c\u043e\u0436\u043d\u043e \u0432\u0438\u0434\u0435\u0442\u044c \u0432 \u043e\u043a\u043d\u0435 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b\u044c\u043d\u043e\u0439 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b. \u0422\u0440\u0435\u0442\u0438\u0439 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 \u043d\u0430\u0439\u0442\u0438 \u0431\u044b\u043b\u043e \u0447\u0443\u0442\u044c \u0441\u043b\u043e\u0436\u043d\u0435\u0435 \u2014 \u043e\u043d \u0432\u0441\u0435\u0433\u0434\u0430 \u0438\u043c\u0435\u043b \u043d\u0435\u0431\u043e\u043b\u044c\u0448\u0438\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f \u0438 \u043c\u0435\u043d\u044f\u043b\u0441\u044f \u0442\u043e\u043b\u044c\u043a\u043e \u043f\u0440\u0438 \u043f\u0435\u0440\u0435\u0437\u0430\u043f\u0443\u0441\u043a\u0435 \u0438\u0433\u0440\u044b. \u0418\u043c \u043e\u043a\u0430\u0437\u0430\u043b\u0441\u044f ProcessID \u0438\u0433\u0440\u044b. \u041f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0439 \u0438\u0437 \u0447\u0435\u0442\u0432\u0451\u0440\u043a\u0438 \u043c\u0435\u043d\u044f\u043b\u0441\u044f \u043f\u043e\u0441\u0442\u043e\u044f\u043d\u043d\u043e \u0438 \u0438\u043c\u0435\u043b \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0431\u043e\u043b\u044c\u0448\u0438\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f. \u0415\u0434\u0438\u043d\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u0439 \u0437\u0430\u0446\u0435\u043f\u043a\u043e\u0439 \u0431\u044b\u043b\u043e \u0442\u043e, \u0447\u0442\u043e \u044d\u0442\u043e \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 \u0432\u0441\u0435\u0433\u0434\u0430 \u0443\u0432\u0435\u043b\u0438\u0447\u0438\u0432\u0430\u043b\u043e\u0441\u044c \u0441\u043e \u0432\u0440\u0435\u043c\u0435\u043d\u0435\u043c \u0438 \u043d\u0438\u043a\u043e\u0433\u0434\u0430 \u043d\u0435 \u0443\u043c\u0435\u043d\u044c\u0448\u0430\u043b\u043e\u0441\u044c. \u042d\u0442\u043e \u0438 \u0431\u044b\u043b\u043e \u0432\u0440\u0435\u043c\u0435\u043d\u0435\u043c, \u0442\u043e\u0447\u043d\u0435\u0435 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u043e\u043c \u0432\u044b\u0437\u043e\u0432\u0430 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 GetTickCount<\/b>.<\/p>\n
  \u0412 \u0438\u0442\u043e\u0433\u0435 \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0430\u0441\u044c \u0442\u0430\u043a\u0430\u044f \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0430:  <\/p>\n
  TAGTHRcPckt = packed record \/\/ SizeOf = 8168 bytes     Context: Cardinal;     Subcontext: Cardinal;     ProcessID: Cardinal;     UpTime: Cardinal;     TextLength: Cardinal;     HookName: array [0 .. 23] of ansichar;     Text: array [0 .. 4061] of widechar;   end;<\/code><\/pre>\n
  \u0421 \u043a\u043e\u043c\u043c\u0443\u043d\u0438\u043a\u0430\u0446\u0438\u0435\u0439 \u043c\u0435\u0436\u0434\u0443 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435\u043c \u0438 \u0438\u0433\u0440\u043e\u0439 \u0440\u0430\u0437\u043e\u0431\u0440\u0430\u043b\u0438\u0441\u044c, \u0442\u0435\u043f\u0435\u0440\u044c \u043d\u0443\u0436\u043d\u043e \u0443\u0437\u043d\u0430\u0442\u044c \u043a\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c \u043c\u043e\u0434\u0443\u043b\u044c \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u0430 \u0442\u0435\u043a\u0441\u0442\u0430 \u043f\u043e\u043f\u0430\u0434\u0430\u0435\u0442 \u0432 \u0438\u0433\u0440\u0443 \u0438 \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043e \u0442\u043e\u043c, \u043a\u0443\u0434\u0430 \u0438 \u043a\u0430\u043a \u0443\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0442\u044c \u0445\u0443\u043a\u0438.<\/p>\n
\u0418\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u0435 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a\u0430<\/h2>\n
  \u0417\u0430\u043f\u0443\u0441\u0442\u0438\u043c \u0438\u0433\u0440\u0443 (\u0438\u043b\u0438 \u043a\u0430\u043a\u043e\u0435 \u0443\u0433\u043e\u0434\u043d\u043e \u0434\u0440\u0443\u0433\u043e\u0435 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435), \u043f\u043e\u0434\u043e\u0436\u0434\u0451\u043c \u043e\u043a\u043e\u043d\u0447\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0439 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0438 \u043f\u0440\u0438\u0446\u0435\u043f\u0438\u043c\u0441\u044f \u043a \u043d\u0435\u0439 \u043e\u0442\u043b\u0430\u0434\u0447\u0438\u043a\u043e\u043c. \u0414\u0430\u043b\u0435\u0435 \u043e\u0442\u043a\u0440\u043e\u0435\u043c \u0441\u043f\u0438\u0441\u043e\u043a \u043c\u043e\u0434\u0443\u043b\u0435\u0439, \u0432\u044b\u0431\u0435\u0440\u0435\u043c kernel32<\/b>, \u0438 \u0432 \u0441\u043f\u0438\u0441\u043a\u0435 \u0444\u0443\u043d\u043a\u0446\u0438\u0439 \u043f\u043e\u0441\u0442\u0430\u0432\u0438\u043c \u0431\u0440\u044f\u043a\u043f\u043e\u0438\u043d\u0442\u044b \u043d\u0430 \u0432\u0441\u0435\u0445 \u0444\u0443\u043d\u043a\u0446\u0438\u044f\u0445, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043d\u0430\u0447\u0438\u043d\u0430\u044e\u0442\u0441\u044f \u043d\u0430 LoadLibrary*<\/b>. \u042d\u0442\u043e \u0441\u0434\u0435\u043b\u0430\u043d\u043e \u043f\u043e\u0442\u043e\u043c\u0443, \u0447\u0442\u043e \u043a\u0430\u043a \u043d\u0435 \u043a\u0440\u0443\u0442\u0438, \u0430 \u0444\u0438\u043d\u0430\u043b\u044c\u043d\u0430\u044f \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0430 dll \u0431\u0443\u0434\u0435\u0442 \u043f\u0440\u043e\u0438\u0437\u0432\u0435\u0434\u0435\u043d\u0430 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0432\u044b\u0437\u043e\u0432\u0430 \u043e\u0434\u043d\u043e\u0439 \u0438\u0437 \u044d\u0442\u0438\u0445 \u0444\u0443\u043d\u043a\u0446\u0438\u0439 \u0438, \u0435\u0441\u043b\u0438 \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u0438\u0442\u044c \u0432\u044b\u0437\u043e\u0432 \u2014 \u043c\u043e\u0436\u043d\u043e, \u043f\u043e\u0431\u0440\u043e\u0434\u0438\u0432 \u043f\u043e \u0441\u0442\u0435\u043a\u0443, \u0432\u044b\u0439\u0442\u0438 \u043d\u0430 \u0441\u0430\u043c \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a.<\/p>\n
  <\/p>\n
  \u041f\u0440\u043e\u0434\u043e\u043b\u0436\u0438\u043c \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b. \u0417\u0430\u0442\u0435\u043c \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u043c AGTH \u0438 \u0443\u043a\u0430\u0436\u0435\u043c \u0435\u043c\u0443 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 \u0438\u0433\u0440\u044b:  <\/p>\n
agth \/PN\u0418\u043c\u044f_\u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430.exe<\/code><\/pre>\n
  \u0422\u0443\u0442 \u0436\u0435 \u0441\u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u043e\u0442\u043b\u0430\u0434\u0447\u0438\u043a. \u0412 \u043c\u043e\u0451\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u0431\u0440\u044f\u043a \u0441\u0440\u0430\u0431\u043e\u0442\u0430\u043b \u043d\u0430 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 LoadLibraryW<\/b>.
  \u041f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043d\u0430 \u0441\u0442\u0435\u043a:<\/p>\n
  <\/p>\n
  \u0432\u0442\u043e\u0440\u043e\u0439 \u0441\u0432\u0435\u0440\u0445\u0443 \u044d\u0442\u043e \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442 \u0444\u0443\u043d\u043a\u0446\u0438\u0438, \u0430 \u0432\u043e\u0442 \u043f\u0435\u0440\u0432\u044b\u0439 \u2014 \u044d\u0442\u043e \u0430\u0434\u0440\u0435\u0441 \u0432\u043e\u0437\u0432\u0440\u0430\u0442\u0430 \u0438 \u0432\u0435\u0434\u0451\u0442 \u043e\u043d \u043a\u0443\u0434\u0430-\u0442\u043e \u0432 \u043d\u0435\u0434\u0440\u0430 kernel32<\/b>. \u0421\u0442\u0440\u0430\u043d\u043d\u043e, \u044f \u043e\u0436\u0438\u0434\u0430\u043b \u0443\u0432\u0438\u0434\u0435\u0442\u044c \u0442\u0430\u043c \u0430\u0434\u0440\u0435\u0441 \u0432\u043d\u0435\u0434\u0440\u0451\u043d\u043d\u043e\u0433\u043e \u0432 \u0438\u0433\u0440\u0443 \u043a\u043e\u0434\u0430 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a\u0430. \u0427\u0442\u043e \u0436, \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c, \u0447\u0442\u043e \u043b\u0435\u0436\u0438\u0442 \u0440\u044f\u0434\u043e\u043c \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u043e\u043c LoadLibraryW<\/b>. \u041f\u0435\u0440\u0435\u0439\u0434\u0451\u043c \u043f\u043e \u0430\u0434\u0440\u0435\u0441\u0443 0x7EF80022 <\/b>\u0438 \u0432\u043e\u0442 \u043e\u043d\u043e! <\/p>\n
  <\/p>\n
  \u042d\u0442\u043e \u0438 \u0435\u0441\u0442\u044c \u0438\u0441\u043a\u043e\u043c\u044b\u0439 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a, \u043a\u0441\u0442\u0430\u0442\u0438, \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u0445\u0438\u0442\u0440\u044b\u0439: \u0432\u0441\u0435\u0433\u043e 4 \u043a\u043e\u043c\u0430\u043d\u0434\u044b (\u043d\u0430\u0447\u0438\u043d\u0430\u044f \u0441 \u0430\u0434\u0440\u0435\u0441\u0430 0x7EF80014 <\/b>\u0438\u0434\u0443\u0442 \u0434\u0430\u043d\u043d\u044b\u0435).<\/p>\n
7EF80000   68 1E00F87E      PUSH 7EF8001E               ; UNICODE "0" 7EF80005   68 1400F87E      PUSH 7EF80014               ; UNICODE "AGTH" 7EF8000A   68 121E4D75      PUSH kernel32.LoadLibraryW 7EF8000F  -E9 CE9755F6      JMP kernel32.SetEnvironmentVariableW<\/code><\/pre>\n
  \u0421\u043d\u0430\u0447\u0430\u043b\u0430 \u043d\u0430 \u0441\u0442\u0435\u043a \u0441\u043a\u043b\u0430\u0434\u044b\u0432\u0430\u044e\u0442\u0441\u044f \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b \u0444\u0443\u043d\u043a\u0446\u0438\u0438 SetEnvironmentVariableW(‘AGTH’,’0′)<\/b>, \u043f\u043e\u0442\u043e\u043c \u2014 \u0430\u0434\u0440\u0435\u0441 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 LoadLibraryW<\/b>, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0441\u043b\u0443\u0436\u0438\u0442 \u0430\u0434\u0440\u0435\u0441\u043e\u043c \u0432\u043e\u0437\u0432\u0440\u0430\u0442\u0430 \u0434\u043b\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u0438 SetEnvironmentVariableW<\/b>, \u0442\u0430\u043a \u043a\u0430\u043a \u0432\u044b\u0437\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u043e\u043d\u0430 \u043d\u0435 \u0447\u0435\u0440\u0435\u0437 CALL<\/b>, \u0430 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0431\u0435\u0437\u0443\u0441\u043b\u043e\u0432\u043d\u043e\u0433\u043e \u043f\u0435\u0440\u0435\u0445\u043e\u0434\u0430 JMP<\/b>. \u00ab\u0422\u0430\u043a \u0432\u043e\u0442 \u043f\u043e\u0447\u0435\u043c\u0443 LoadLibraryW <\/b>\u0431\u044b\u043b \u0432\u044b\u0437\u0432\u0430\u043d \u043e\u0442\u043a\u0443\u0434\u0430-\u0442\u043e \u0438\u0437 \u043d\u0435\u0434\u0440 kernel32<\/b>, \u0430 \u043d\u0435 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a\u043e\u043c!\u00bb \u2014 \u0442\u0430\u043a \u044f \u043f\u043e\u0434\u0443\u043c\u0430\u043b. \u041d\u043e \u043c\u044b\u0441\u043b\u044c \u043e \u0442\u043e\u043c, \u0447\u0442\u043e \u0436\u0435 \u0431\u0443\u0434\u0435\u0442 \u043f\u043e\u0441\u043b\u0435 \u0442\u043e\u0433\u043e \u043a\u0430\u043a \u043e\u0442\u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 LoadLibrary <\/b>\u043d\u0435 \u0434\u0430\u0432\u0430\u043b\u0430 \u043c\u043d\u0435 \u043f\u043e\u043a\u043e\u044f. \u041f\u043e\u044d\u0442\u043e\u043c\u0443 \u044f \u0440\u0435\u0448\u0438\u043b \u0433\u043b\u044f\u043d\u0443\u0442\u044c, \u043a\u0443\u0434\u0430 \u0436\u0435 \u0432\u0441\u0435-\u0442\u0430\u043a\u0438 \u0432\u0435\u0440\u043d\u0451\u0442\u0441\u044f \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u043f\u043e\u0441\u043b\u0435 \u0432\u044b\u0437\u043e\u0432\u0430. \u0418\u0434\u0451\u043c \u043f\u043e \u0430\u0434\u0440\u0435\u0441\u0443 0x754D3677<\/b> \u0438 \u0432\u0438\u0434\u0438\u043c:<\/p>\n
754D3677   50               PUSH EAX 754D3678   FF15 F0064D75    CALL DWORD PTR DS:[<&ntdll.RtlExitUserThread>]     ; ntdll.RtlExitUserThread<\/code><\/pre>\n
  \u0421\u0443\u0434\u044f \u043f\u043e \u0432\u0441\u0435\u043c\u0443 \u043f\u043e\u0441\u043b\u0435 \u0432\u044b\u0437\u043e\u0432\u0430 LoadLibraryW<\/b>, \u0431\u0443\u0434\u0435\u0442 \u0432\u044b\u0437\u0432\u0430\u043d RtlExitUserThread<\/b> \u0441 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u043e\u043c, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0432\u0435\u0440\u043d\u0451\u0442 LoadLibraryW <\/b>\u0438 \u0442\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c \u0443\u0434\u0430\u043b\u0451\u043d\u043d\u044b\u0439 \u043f\u043e\u0442\u043e\u043a \u0443\u0441\u043f\u0435\u0448\u043d\u043e \u0437\u0430\u0432\u0435\u0440\u0448\u0438\u0442\u0441\u044f. \u041a\u0430\u0437\u0430\u043b\u043e\u0441\u044c \u0431\u044b \u2014 \u0432\u0441\u0451 \u0445\u043e\u0440\u043e\u0448\u043e, \u043d\u043e \u043c\u0435\u043d\u044f \u043d\u0435 \u043f\u043e\u043a\u0438\u0434\u0430\u043b\u0430 \u043c\u044b\u0441\u043b\u044c: \u00ab\u0410 \u043e\u0442\u043a\u0443\u0434\u0430 \u0432\u043e\u043e\u0431\u0449\u0435 \u043d\u0430 \u0441\u0442\u0435\u043a\u0435 \u043e\u043a\u0430\u0437\u0430\u043b\u0441\u044f \u044d\u0442\u043e\u0442 \u0430\u0434\u0440\u0435\u0441, \u0438 \u0433\u0434\u0435 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0430 \u0434\u043e\u0441\u0442\u0430\u043b\u0430 \u0430\u0434\u0440\u0435\u0441 \u0441\u0442\u0440\u043e\u043a\u0438, \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u043f\u0443\u0442\u044c \u043a \u0432\u043d\u0435\u0434\u0440\u044f\u0435\u043c\u043e\u0439 dll \u043b\u0435\u0436\u0438\u0442? \u0412\u0435\u0434\u044c \u0432 \u043a\u043e\u0434\u0435 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a\u0430 \u043d\u0438\u0447\u0435\u0433\u043e \u043f\u043e\u0434\u043e\u0431\u043d\u043e\u0433\u043e \u043d\u0435\u0442!\u00bb. \u0412\u044b\u0445\u043e\u0434\u0438\u0442 \u043a\u0442\u043e-\u0442\u043e \u043f\u043e\u043b\u043e\u0436\u0438\u043b \u044d\u0442\u0438 \u0430\u0434\u0440\u0435\u0441\u0430 \u043d\u0430 \u0441\u0442\u0435\u043a \u0435\u0449\u0451 \u0434\u043e \u0442\u043e\u0433\u043e \u043a\u0430\u043a \u0431\u044b\u043b\u0430 \u0432\u044b\u0437\u0432\u0430\u043d\u0430 \u043f\u0435\u0440\u0432\u0430\u044f \u0438\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u044f \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a\u0430. \u0418 \u0442\u0443\u0442 \u043c\u0435\u043d\u044f \u043e\u0441\u0435\u043d\u0438\u043b\u043e: \u0443\u0434\u0430\u043b\u0451\u043d\u043d\u044b\u0435 \u043f\u043e\u0442\u043e\u043a\u0438 \u0441\u043e\u0437\u0434\u0430\u044e\u0442\u0441\u044f \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0444\u0443\u043d\u043a\u0446\u0438\u0438 CreateRemoteThread<\/b>, \u0430 \u043e\u043d\u0430 \u043a\u0440\u043e\u043c\u0435 \u0443\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u044f \u043d\u0430 \u0444\u0443\u043d\u043a\u0446\u0438\u044e \u043f\u0440\u0438\u043d\u0438\u043c\u0430\u0435\u0442 \u0435\u0449\u0451 \u0438 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 \u0434\u043b\u044f \u044d\u0442\u043e\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u0438. \u0422\u043e \u0435\u0441\u0442\u044c \u043e\u043d\u0430 \u0441\u043a\u043b\u0430\u0434\u044b\u0432\u0430\u0435\u0442 \u043d\u0430 \u0441\u0442\u0435\u043a \u0441\u043d\u0430\u0447\u0430\u043b\u0430 \u0430\u0434\u0440\u0435\u0441 RtlExitUserThread<\/b>, \u0447\u0442\u043e\u0431\u044b \u043f\u043e\u0442\u043e\u043a, \u0441\u0434\u0435\u043b\u0430\u0432 RET<\/b>, \u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u043e \u0437\u0430\u0432\u0435\u0440\u0448\u0438\u043b\u0441\u044f, \u0430 \u043f\u043e\u0442\u043e\u043c \u0435\u0449\u0451 \u0438 \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u0443\u044e \u2014 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440.<\/p>\n
  \u0415\u0449\u0451 \u0440\u0430\u0437 \u0432\u043a\u0440\u0430\u0442\u0446\u0435:  <\/p>\n