выпил я пива и меня понесло решил написать как извлекать склеиные фаилы
предположим у нас порога ну очень нужная и в нее вклеин вирус который убивает систему или просто пинч
для начала открываем все это в ольге жмем букву м (что значит память) смотри всю память короче то чем пользуеться наш подопытный фаил (ктото тут видит намного больше ну да ладно)
посмотрели да.. действительно видно что при запуске пороги (смотрим адрес ) она или прыгает на последнию секцию или с нее начинает это стаб джуниоро он извлекает и он запускает
ладно не будем замарачиваться ставим бряк BP CreateFile мы будем ловить если чтото начнет создаваться или загружаться но нам нужно первое итак ф9 и встали смотрим где и что в стеке трасируеим до самой функции калл и смотрим сет там указано что произайдет т.е парамитры функции
там указано где будет создаваться фаил или загружаться ну смотрим папка темп название фаила жмем ф8 так как в эту функцию нам не нужно кому интересно может пойти по указанаму там адресу и посмотреть что там появился указаный фаил только размер его 0
так как он только создался стави бряк BP WriteFile или просто трасируем там не далеко нашли жмем ф8 не заходим ф фаиле появился вес но вот беда мы не можем его ни скопировать ничего пишет мол используеться системой значит идем пишком дальше и вот оно закрытие хендла (если это вирус то нужно быть акуратней
и не пропустить вдру будет стоять функция запуска фаила ее можно перескачить если такая встретиться
а нет так нет как только хендл закрылся все доступ к фаилу есть если эта та порого то можно закрывать ольгу если это вирус то идем дальше предворительно удалив вирус и ишем нашу порогу надеюсь ктонить понял мой бред.