00011C0A cmp word ptr [eax], ‘ZM’
00011759 mov bx, [eax+3Ch]
00011E31 cmp dword ptr [eax+ebx], 'EP'
The code in general now looks like “spaghetti” – and still, it’s just a
second-layer decryptor. The picture below shows you its execution flow – every
grey “box” in it represents a stand-alone function:
Ссылка на полное описание распкаовки и методах дебага драйверов под vmware -
http://blog.threatexpert.com/2008/05/rustockc-unpacking-nested-doll.html
Вот ссылка на сам руткит, качайте и эксперементируйте -
http://rapidshare.com/files/116503927/Rustock.C.rar.html
п.с. В жж делаю запрос сложный, выдало: Тысячи и тысячи обезьянок работают
сейчас, чтобы выполнить ваш запрос. Подождите немного, пожалуйста. ггг:)))
п.с.2. Таки, кто ж автор сего безобразия, ну так как бы просто интересуюсь)
