Sucedia lo mismo cuando se escribia #include <winsock2.h> despues de <windows.h>, quizá algun #ifdef en windows.h.
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
Mostrar Mensajes MenúCita de: Vaagish en 29 Abril 2014, 21:11 PM¿No habias dicho que el tema ya estaba resuelto?
Huu... Bueno,, se pudrió todo.. Ahora tienen para discutir un rato mas, no?
Ta, listo.. tema terminado..
Cita de: Karcrack en 26 Abril 2014, 17:07 PMYo lo sé, puedo apostar mucho, o te referis a eso que ha dicho que es ruso? Yo sé que es americano ( Norteamericano ).
Se ve que sabes quién es ese americano y pasas horas con él en IRC
Cita de: Karcrack en 26 Abril 2014, 17:07 PMLo he hecho pero no como x64Core
Me resulta curioso que siempre acabas usando argumentos ad hominem Más fácil sería que demostrases que sabes en lugar de intentar demostrar que el resto sabe menos.
Cita de: Karcrack en 26 Abril 2014, 16:03 PMLo conozo desde años cuando era Touch me maybe -> TouchMe -> Ntoskrnl.
Sorprende con la facilidad que insultas a alguien que acabas de saber que existe. No es americano y apuesto que sabe más sobre windows internals que tú mismo.
Cita de: Karcrack en 26 Abril 2014, 16:03 PM
Una vez descargados los hooks desde ring3 está claro que no vas a saltarte ring0 pero ya has escapado del análisis de la sandbox. Lo que hagas no quedará reflejado durante el análisis, evitando así que salte la heurística dinámica. Es obvio que no vas a poder cargar un driver sin que el AV se entere ya que esa detección está en otro nivel.
La utilidad de salirse de la sandbox no es eludir al AV por completo sino ser capaz de ejecutar código como lo harías normalmente sin que te hubiesen metido en una sandbox...
Cita de: Arkangel_0x7C5 en 26 Abril 2014, 16:07 PMNo precisamente, esa fue una vulnerabilidad/Caracteristica que Windows parcheo hace mucho tiempo y no funciona más desde Windows XP + SP3.
No necesaria mente, si abres el dispositivo de la memoria fisica, la ram. podrias escribir en Ring 0 estando en Ring 3
Saludos
Cita de: full159 en 26 Abril 2014, 00:33 AMAquí no ayudamos a robarle la contraseña a la novia
hola amigos nesesito un keylogger parecido al ardamax ya que el ardmax no me envia lo que registra completo me envia abeses con fallas abeses no esta lo q se be en la captura por ejemplo sale facebook pero no hy nicorreo ni contraseñas porfa ayuaa gracias
Cita de: francoyo1998 en 25 Abril 2014, 22:29 PMAprender sobre tecnicas anti-debugging/desenpaquetado?
gracias x64Core mas o menos es lo que busco pero necesito algo con tecnicas anti-desepaquetado para que programas como winrar o otros no puedan extraerlo (que no se note que es un paquete)... acepto codigos en python, programas para usar desde consola, o codigos en c (bien pero bien explicados ya que no tengo ningun conocimento de c)... y quizas otros pero por si acaso vuelvo a repetir lo que estoy buscando:
Cita de: francoyo1998 en 25 Abril 2014, 22:29 PM7zip es de código abierto podes estudiar el código para saber como funciona, pero es muy simple el almacenamiento de bytes.
-Poner varios archivos dentro de un ejecutable (como un auto extraible o atraves de una inyeccion)
Cita de: francoyo1998 en 25 Abril 2014, 22:29 PM¿Sin escritura en el disco? Si fuese así necesitarias estudiar cada uno de los formatos que tu programa pueda aceptar para cargar y hacer
-Que se pueda ejecutar alguno de los archivos que se extrayeron (no necesario en caso de que se haga atravez de un inyeccion)
Cita de: francoyo1998 en 25 Abril 2014, 22:29 PMPueden desenpaquetar los archivos que tengan ese tipo de formato y estructura simplemente hacerlo diferente.
-Que no pueda ser desempaquetado con winrar, winzip, 7zip, etc etc etc
Cita de: francoyo1998 en 25 Abril 2014, 22:29 PMA programar.
-Que pueda usarse desde consola o que pueda usarse desde cualquier lenguaje
Cita de: francoyo1998 en 25 Abril 2014, 22:05 PMUPX es de código abierto así como otros.
Creo que no se entendio lo que dije, lo que quise decir es que YO voy a programar un programa que haga el instalador y para eso necesito que mi programa mezcle varios exe en uno ya sea atraves de consola o como sea, si es posible que sea en python o batch mejor
Name Current Entry Hook Original Entry Module
NtAddBootEntry 0xB2A4CA9C ssdt hook 0x8060CB50 C:\WINDOWS\system32\drivers\aswSnx.sys
NtAssignProcessToJobObject 0xB2A4D57A ssdt hook 0x805CC8C4 C:\WINDOWS\system32\drivers\aswSnx.sys
NtClose 0xB2A9185D ssdt hook 0x805B1C3A C:\WINDOWS\system32\drivers\aswSnx.sys
NtCreateEvent 0xB2A595C4 ssdt hook 0x80605124 C:\WINDOWS\system32\drivers\aswSnx.sys
NtCreateEventPair 0xB2A59610 ssdt hook 0x8060D3C6 C:\WINDOWS\system32\drivers\aswSnx.sys
NtCreateIoCompletion 0xB2A597AA ssdt hook 0x8056DC5A C:\WINDOWS\system32\drivers\aswSnx.sys
NtCreateKey 0xB2A91211 ssdt hook 0x8061A286 C:\WINDOWS\system32\drivers\aswSnx.sys
NtCreateMutant 0xB2A59532 ssdt hook 0x8060D7BE C:\WINDOWS\system32\drivers\aswSnx.sys
NtCreateSection 0xB2A59654 ssdt hook 0x805A06EC C:\WINDOWS\system32\drivers\aswSnx.sys
NtCreateSemaphore 0xB2A5957A ssdt hook 0x8060B15A C:\WINDOWS\system32\drivers\aswSnx.sys
NtCreateThread 0xB2A4DAB0 ssdt hook 0x805C7208 C:\WINDOWS\system32\drivers\aswSnx.sys
NtCreateTimer 0xB2A59764 ssdt hook 0x8060D08E C:\WINDOWS\system32\drivers\aswSnx.sys
NtDebugActiveProcess 0xB2A4E368 ssdt hook 0x80639A86 C:\WINDOWS\system32\drivers\aswSnx.sys
NtDeleteBootEntry 0xB2A4CB02 ssdt hook 0x8060CB42 C:\WINDOWS\system32\drivers\aswSnx.sys
NtDeleteKey 0xB2A91F23 ssdt hook 0x8061A716 C:\WINDOWS\system32\drivers\aswSnx.sys
NtDeleteValueKey 0xB2A921D9 ssdt hook 0x8061A8E6 C:\WINDOWS\system32\drivers\aswSnx.sys
NtDuplicateObject 0xB2A51B3C ssdt hook 0x805B384E C:\WINDOWS\system32\drivers\aswSnx.sys
NtEnumerateKey 0xB2A91D8E ssdt hook 0x8061AAC6 C:\WINDOWS\system32\drivers\aswSnx.sys
NtEnumerateValueKey 0xB2A91BF9 ssdt hook 0x8061AD30 C:\WINDOWS\system32\drivers\aswSnx.sys
NtLoadDriver 0xB2A4C6EE ssdt hook 0x80579588 C:\WINDOWS\system32\drivers\aswSnx.sys
NtMapViewOfSection 0xB2D8467A ssdt hook 0x805A7480 C:\WINDOWS\system32\drivers\aswSP.sys
NtModifyBootEntry 0xB2A4CB68 ssdt hook 0x8060CB42 C:\WINDOWS\system32\drivers\aswSnx.sys
NtNotifyChangeKey 0xB2A51F32 ssdt hook 0x8061C44C C:\WINDOWS\system32\drivers\aswSnx.sys
NtNotifyChangeMultipleKeys 0xB2A4EE50 ssdt hook 0x8061B09C C:\WINDOWS\system32\drivers\aswSnx.sys
NtOpenEvent 0xB2A595EE ssdt hook 0x80605224 C:\WINDOWS\system32\drivers\aswSnx.sys
NtOpenEventPair 0xB2A59632 ssdt hook 0x8060D49E C:\WINDOWS\system32\drivers\aswSnx.sys
NtOpenIoCompletion 0xB2A597CE ssdt hook 0x8056DD32 C:\WINDOWS\system32\drivers\aswSnx.sys
NtOpenKey 0xB2A9156D ssdt hook 0x8061B658 C:\WINDOWS\system32\drivers\aswSnx.sys
NtOpenMutant 0xB2A59558 ssdt hook 0x8060D896 C:\WINDOWS\system32\drivers\aswSnx.sys
NtOpenProcess 0xB2A51436 ssdt hook 0x805C1296 C:\WINDOWS\system32\drivers\aswSnx.sys
NtOpenSection 0xB2A596E2 ssdt hook 0x8059F722 C:\WINDOWS\system32\drivers\aswSnx.sys
NtOpenSemaphore 0xB2A595A2 ssdt hook 0x8060B254 C:\WINDOWS\system32\drivers\aswSnx.sys
NtOpenThread 0xB2A5181E ssdt hook 0x805C1522 C:\WINDOWS\system32\drivers\aswSnx.sys
NtOpenTimer 0xB2A59788 ssdt hook 0x8060D1B0 C:\WINDOWS\system32\drivers\aswSnx.sys
NtProtectVirtualMemory 0xB2D8441E ssdt hook 0x805ADA08 C:\WINDOWS\system32\drivers\aswSP.sys
NtQueryKey 0xB2A91A74 ssdt hook 0x8061B97E C:\WINDOWS\system32\drivers\aswSnx.sys
NtQueryObject 0xB2A4ECC4 ssdt hook 0x805BB04C C:\WINDOWS\system32\drivers\aswSnx.sys
NtQueryValueKey 0xB2A918C6 ssdt hook 0x806184BE C:\WINDOWS\system32\drivers\aswSnx.sys
NtQueueApcThread 0xB2A4E81A ssdt hook 0x805C7466 C:\WINDOWS\system32\drivers\aswSnx.sys
NtRenameKey 0xB2D923D8 ssdt hook 0x80619CA8 C:\WINDOWS\system32\drivers\aswSP.sys
NtRestoreKey 0xB2A90857 ssdt hook 0x8061BC3E C:\WINDOWS\system32\drivers\aswSnx.sys
NtSetBootEntryOrder 0xB2A4CBCE ssdt hook 0x8060CB50 C:\WINDOWS\system32\drivers\aswSnx.sys
NtSetBootOptions 0xB2A4CC34 ssdt hook 0x8060CB50 C:\WINDOWS\system32\drivers\aswSnx.sys
NtSetContextThread 0xB2A4E1E2 ssdt hook 0x805C792A C:\WINDOWS\system32\drivers\aswSnx.sys
NtSetSystemInformation 0xB2A4C788 ssdt hook 0x80605E76 C:\WINDOWS\system32\drivers\aswSnx.sys
NtSetSystemPowerState 0xB2A4C95A ssdt hook 0x80648DD6 C:\WINDOWS\system32\drivers\aswSnx.sys
NtSetValueKey 0xB2A9202A ssdt hook 0x8061880C C:\WINDOWS\system32\drivers\aswSnx.sys
NtShutdownSystem 0xB2A4C8E8 ssdt hook 0x80609092 C:\WINDOWS\system32\drivers\aswSnx.sys
NtSuspendProcess 0xB2A4E532 ssdt hook 0x805CACEA C:\WINDOWS\system32\drivers\aswSnx.sys
NtSuspendThread 0xB2A4E694 ssdt hook 0x805CAB5C C:\WINDOWS\system32\drivers\aswSnx.sys
NtSystemDebugControl 0xB2A4C9E2 ssdt hook 0x8060E1DA C:\WINDOWS\system32\drivers\aswSnx.sys
NtTerminateProcess 0xB2A4E020 ssdt hook 0x805C8C2A C:\WINDOWS\system32\drivers\aswSnx.sys
NtTerminateThread 0xB2A4E1C2 ssdt hook 0x805C8E24 C:\WINDOWS\system32\drivers\aswSnx.sys
NtVdmControl 0xB2A4CC9A ssdt hook 0x805F1502 C:\WINDOWS\system32\drivers\aswSnx.sys
NtWriteVirtualMemory 0xB2A4D5D6 ssdt hook 0x805A981C C:\WINDOWS\system32\drivers\aswSnx.sys
Name Current Entry Hook Original Entry Module
NtGdiAlphaBlend 0xB2A53BB8 inline hook 0xBF83B4CD C:\WINDOWS\system32\drivers\aswSnx.sys
NtGdiBitBlt 0xB2A53828 inline hook 0xBF809FDF C:\WINDOWS\system32\drivers\aswSnx.sys
NtGdiCreateCompatibleDC 0xB2A53706 inline hook 0xBF80CF90 C:\WINDOWS\system32\drivers\aswSnx.sys
NtGdiDeleteObjectApp 0xB2A536BA inline hook 0xBF8138FE C:\WINDOWS\system32\drivers\aswSnx.sys
NtGdiGetPixel 0xB2A53756 inline hook 0xBF87882D C:\WINDOWS\system32\drivers\aswSnx.sys
NtGdiMaskBlt 0xB2A5399E inline hook 0xBF838560 C:\WINDOWS\system32\drivers\aswSnx.sys
NtGdiOpenDCW 0xB2A535AE inline hook 0xBF838A7E C:\WINDOWS\system32\drivers\aswSnx.sys
NtGdiPlgBlt 0xB2A53A62 inline hook 0xBF9438F8 C:\WINDOWS\system32\drivers\aswSnx.sys
NtGdiStretchBlt 0xB2A538E0 inline hook 0xBF873983 C:\WINDOWS\system32\drivers\aswSnx.sys
NtGdiTransparentBlt 0xB2A53B10 inline hook 0xBF857D74 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserAttachThreadInput 0xB2A52CAE inline hook 0xBF8F4FC9 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserBlockInput 0xB2A52462 inline hook 0xBF9131E6 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserBuildNameList 0xB2A52AAC inline hook 0xBF8B37FB C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserCallHwndParamLock 0xB2A522FA inline hook 0xBF82868B C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserGetAsyncKeyState 0xB2A52C72 inline hook 0xBF84928E C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserGetClipboardData 0xB2A526F6 inline hook 0xBF8F9709 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserGetKeyboardState 0xB2A52D68 inline hook 0xBF852720 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserGetKeyState 0xB2A52C90 inline hook 0xBF820E6C C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserOpenDesktop 0xB2A527D2 inline hook 0xBF8B3770 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserOpenInputDesktop 0xB2A52898 inline hook 0xBF88FFB6 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserRegisterHotKey 0xB2A52D86 inline hook 0xBF8ADD61 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserRegisterRawInputDevices 0xB2A52BCC inline hook 0xBF915BA7 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserSendInput 0xB2A524CA inline hook 0xBF8C31E7 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserSetClipboardViewer 0xB2A525AE inline hook 0xBF8F9489 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserSetSysColors 0xB2A52282 inline hook 0xBF912612 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserSetWindowsHookEx 0xB2A5207E inline hook 0xBF8527E0 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserSetWinEventHook 0xB2A51F68 inline hook 0xBF8ED991 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserSwitchDesktop 0xB2A52A66 inline hook 0xBF890AD9 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserSystemParametersInfo 0xB2A5219A inline hook 0xBF81E743 C:\WINDOWS\system32\drivers\aswSnx.sys
NtUserUnregisterHotKey 0xB2A52E30 inline hook 0xBF9128BE C:\WINDOWS\system32\drivers\aswSnx.sys
Cita de: Karcrack en 25 Abril 2014, 16:04 PM¿No fue eso mismo lo que dije?
Yo no me estoy inventando ningún término. Puedes leer más al respecto y verás que la heurística dinámica va cogida de la mano de la emulación de código y también del análisis de comportamiento (behavioral).
Cita de: Karcrack en 25 Abril 2014, 16:04 PMAcabo que mirar en Avast internet security (Windows de 32-bits)
Comodo no lo he probado pero esto funciona con el Avast: http://www.malwaretech.com/2013/09/fighting-hooks-with-hooks-sandbox-escape.html
[*]len(5) ntdll.dll->LdrLoadDll
[*]len(5) ntdll.dll->LdrUnloadDll
[*]len(5) KERNEL32.dll->DefineDosDeviceW
[*]len(5) KERNEL32.dll->SetLocaleInfoW
[*]len(5) KERNEL32.dll->SetProcessShutdownParameters
[*]len(5) comdlg32.dll->GetSaveFileNameW
[*]len(5) ADVAPI32.dll->ChangeServiceConfig2A
[*]len(5) ADVAPI32.dll->ChangeServiceConfig2W
[*]len(5) ADVAPI32.dll->ChangeServiceConfigA
[*]len(5) ADVAPI32.dll->ChangeServiceConfigW
[*]len(5) ADVAPI32.dll->CloseServiceHandle
[*]len(5) ADVAPI32.dll->ControlService
[*]len(5) ADVAPI32.dll->CreateServiceA
[*]len(5) ADVAPI32.dll->CreateServiceW
[*]len(5) ADVAPI32.dll->DeleteService
[*]len(5) ADVAPI32.dll->DeregisterEventSource
[*]len(5) ADVAPI32.dll->EnumDependentServicesA
[*]len(5) ADVAPI32.dll->EnumDependentServicesW
[*]len(5) ADVAPI32.dll->EnumServicesStatusA
[*]len(5) ADVAPI32.dll->EnumServicesStatusExA
len(5) ADVAPI32.dll->EnumServicesStatusExW
[*]len(5) ADVAPI32.dll->EnumServicesStatusW
[*]len(5) ADVAPI32.dll->GetServiceDisplayNameA
[*]len(5) ADVAPI32.dll->GetServiceDisplayNameW
[*]len(5) ADVAPI32.dll->GetServiceKeyNameA
[*]len(5) ADVAPI32.dll->GetServiceKeyNameW
[*]len(5) ADVAPI32.dll->LockServiceDatabase
[*]len(5) ADVAPI32.dll->LookupAccountNameW
[*]len(5) ADVAPI32.dll->OpenSCManagerA
[*]len(5) ADVAPI32.dll->OpenSCManagerW
[*]len(5) ADVAPI32.dll->OpenServiceA
[*]len(5) ADVAPI32.dll->OpenServiceW
[*]len(5) ADVAPI32.dll->QueryServiceConfig2A
[*]len(5) ADVAPI32.dll->QueryServiceConfig2W
[*]len(5) ADVAPI32.dll->QueryServiceConfigA
[*]len(5) ADVAPI32.dll->QueryServiceConfigW
[*]len(5) ADVAPI32.dll->QueryServiceLockStatusA
[*]len(5) ADVAPI32.dll->QueryServiceLockStatusW
[*]len(5) ADVAPI32.dll->QueryServiceObjectSecurity
len(5) ADVAPI32.dll->QueryServiceStatus
[*]len(5) ADVAPI32.dll->QueryServiceStatusEx
[*]len(5) ADVAPI32.dll->RegConnectRegistryW
len(5) ADVAPI32.dll->RegisterEventSourceA
[*]len(5) ADVAPI32.dll->RegisterEventSourceW
[*]len(5) ADVAPI32.dll->RegisterServiceCtrlHandlerA
[*]len(5) ADVAPI32.dll->RegisterServiceCtrlHandlerExA
[*]len(5) ADVAPI32.dll->RegisterServiceCtrlHandlerExW
[*]len(5) ADVAPI32.dll->RegisterServiceCtrlHandlerW
[*]len(5) ADVAPI32.dll->ReportEventA
[*]len(5) ADVAPI32.dll->ReportEventW
[*]len(5) ADVAPI32.dll->SetServiceObjectSecurity
[*]len(5) ADVAPI32.dll->SetServiceStatus
len(5) ADVAPI32.dll->StartServiceA
[*]len(5) ADVAPI32.dll->StartServiceCtrlDispatcherA
[*]len(5) ADVAPI32.dll->StartServiceCtrlDispatcherW
[*]len(5) ADVAPI32.dll->StartServiceW
[*]len(5) ADVAPI32.dll->UnlockServiceDatabase
[*]len(5) Secur32.dll->LsaRegisterLogonProcess
len(5) USER32.dll->CreateDialogIndirectParamA
[*]len(5) USER32.dll->CreateDialogIndirectParamAorW
[*]len(5) USER32.dll->CreateDialogIndirectParamW
[*]len(5) USER32.dll->CreateDialogParamA
[*]len(5) USER32.dll->CreateDialogParamW
[*]len(5) USER32.dll->CreateWindowExA
[*]len(5) USER32.dll->CreateWindowExW
[*]len(5) USER32.dll->DialogBoxIndirectParamA
len(5) USER32.dll->DialogBoxIndirectParamAorW
[*]len(5) USER32.dll->DialogBoxIndirectParamW
[*]len(5) USER32.dll->DialogBoxParamA
[*]len(5) USER32.dll->DialogBoxParamW
[*]len(5) USER32.dll->EnumDesktopWindows
[*]len(5) USER32.dll->EnumThreadWindows
[*]len(5) USER32.dll->EnumWindows
[*]len(5) USER32.dll->ExitWindowsEx
[*]len(5) USER32.dll->FindWindowA
[*]len(5) USER32.dll->FindWindowExA
[*]len(5) USER32.dll->FindWindowExW
[*]len(5) USER32.dll->FindWindowW
[*]len(5) USER32.dll->GetClassInfoA
len(5) USER32.dll->GetClassInfoExA
[*]len(5) USER32.dll->GetClassInfoExW
[*]len(5) USER32.dll->GetClassInfoW
[*]len(5) USER32.dll->GetClassNameA
[*]len(5) USER32.dll->GetClassNameW
[*]len(5) USER32.dll->GetPropA
[*]len(5) USER32.dll->GetPropW
[*]len(5) USER32.dll->GetShellWindow
[*]len(5) USER32.dll->GetWindowLongA
[*]len(5) USER32.dll->GetWindowLongW
[*]len(5) USER32.dll->MoveWindow
[*]len(5) USER32.dll->RegisterClassA
[*]len(5) USER32.dll->RegisterClassExA
[*]len(5) USER32.dll->RegisterClassExW
[*]len(5) USER32.dll->RegisterClassW
[*]len(5) USER32.dll->RemovePropA
[*]len(5) USER32.dll->RemovePropW
[*]len(5) USER32.dll->SetDoubleClickTime
[*]len(5) USER32.dll->SetParent
len(5) USER32.dll->SetPropA
[*]len(5) USER32.dll->SetPropW
[*]len(5) USER32.dll->SetWinEventHook
[*]len(5) USER32.dll->SetWindowLongA
[*]len(5) USER32.dll->SetWindowLongW
[*]len(5) USER32.dll->SetWindowPos
[*]len(5) USER32.dll->SetWindowsHookExA
[*]len(5) USER32.dll->SetWindowsHookExW
[*]len(5) USER32.dll->SwapMouseButton
[*]len(5) USER32.dll->UnhookWindowsHookEx
[*]len(5) USER32.dll->UnregisterClassA
[*]len(5) USER32.dll->UnregisterClassW
len(5) WINSPOOL.DRV->AddPrintProcessorA
[*]len(5) WINSPOOL.DRV->AddPrintProcessorW
[*]len(5) WINSPOOL.DRV->AddPrintProvidorA
[*]len(5) WINSPOOL.DRV->AddPrintProvidorW
[*]len(5) ole32.dll->CoCreateInstance
[*]len(5) ole32.dll->CoCreateInstanceEx
[*]len(5) ole32.dll->CoGetClassObject
[*]len(5) USERENV.dll->RegisterGPNotification
[*]len(5) USERENV.dll->UnregisterGPNotification