-
-
[讨论]关于TDL4一个不为人知的细节
-
发表于: 2012-10-23 18:05
-
这几天 搞TDL4 已经实现了TDL4引导的功能 WIN7下 对用AH=42h 读入kdcom.dll那部分处理还有点问题 山寨TDL4 2号没起来 在win7/win7 x64上面
其中有一个细节 肯定很多人没注意到 我也没解
Queue15 17:43:55
今天 发现了一个很重要的问题
Queue15 17:47:36
int 13h extend 读写盘 支持的最大硬盘是137G
很显然 TDL4支持>137G的硬盘
在真实的机器上 TDL4应该是用支持ATA/133标准的
int 13h extend extend 来进行读盘的 读取并且解密他那个位于磁盘尾部的加密的FS
真操蛋啊 真不知道TDL4的作者 调试的时候是怎么调试的
难道在大硬盘上 调试啊 虚拟机硬盘也不可能这么大啊
网上 也没有什么关于int 13h extend 支持大于137G的时候 参数传递的说明啊
真操蛋啊
TDL4真不知道是怎么调试的 我用TDL4样本感染了两台真实机
全都起来了 TDL4 全都向磁盘尾部写入了加密数据
一个320G 一个500G的硬盘
其中有一个细节 肯定很多人没注意到 我也没解
Queue15 17:43:55
今天 发现了一个很重要的问题
Queue15 17:47:36
int 13h extend 读写盘 支持的最大硬盘是137G
很显然 TDL4支持>137G的硬盘
在真实的机器上 TDL4应该是用支持ATA/133标准的
int 13h extend extend 来进行读盘的 读取并且解密他那个位于磁盘尾部的加密的FS
真操蛋啊 真不知道TDL4的作者 调试的时候是怎么调试的
难道在大硬盘上 调试啊 虚拟机硬盘也不可能这么大啊
网上 也没有什么关于int 13h extend 支持大于137G的时候 参数传递的说明啊
真操蛋啊
TDL4真不知道是怎么调试的 我用TDL4样本感染了两台真实机
全都起来了 TDL4 全都向磁盘尾部写入了加密数据
一个320G 一个500G的硬盘
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
