64位bootkit，在我的win7 x64虚拟机成功运行，解压密码infected，

PT目前可以检测被感染的MBR，其他的继续研究

妈妈的笑点总是很特别，比如回到上海看到我的第一眼就会笑，比如打电话的时候，一冷场她就会笑，

然后我也笑，然后又继续冷场，比如有时候在街上远处叫她一声，回过头看我的时候，也会呵呵地笑。。。

祝妈妈永远笑口常开，母亲节快乐~~

Since PatchGuard 2, the timer DPCs are encrypted

因为PatchGuard技术，在Ke(i)SetTimerEx的开头会加密KDPC，

从KTIME取得KDPC的时候，需要一个解码的过程，

ULONGLONG Deobfuscated;
PKDPC     RealDpc;
Deobfuscated = Timer->Dpc ^ KiWaitNever;
Deobfuscated = _rotl64(Deobfuscated, (UCHAR)KiWaitNever);
Deobfuscated = Deobfuscated ^

终于陆陆续续，拖拖拉拉的弄好了，在64位下面的第一个版本，希望大家继续支持PT，谢谢~~~

百度百科介绍：http://baike.baidu.com/view/4497107.htm

另附上PowerTool交流群号：群一：53296280  群二：1125993

PowerTool官方微博：

做一个记录而已。。。

x64里由于无法内联汇编语句，所以必须专门写asm文件来编译汇编语言，

先总结一下R0里面如何编译：

1. 下载MASM64编译器（Tesla.Angela修改版），下载地址：http://good.gd/1399004.htm

    然后写一个编译的bat文件（假设装在C盘下面，项目在D:\Devlopment\test，asm文件叫x64.asm）

@Set ProgName=64bit

祝各位支持PT的朋友们，圣诞节快乐

百度百科介绍：http://baike.baidu.com/view/4497107.htm

另附上PowerTool交流群号：群一：53296280  群二：1125993

百度百科介绍：http://baike.baidu.com/view/4497107.htm

另附上PowerTool交流群号：53296280

百度百科介绍：http://baike.baidu.com/view/4497107.htm

另附上PowerTool交流群号：53296280

PowerTool官方微博：

请使用4.0.2版本，呵呵

还是按照自己的风格，

先看一下ZeroAccess都修改了哪些地方

首先就是万恶的流文件进程，因为这个进程的名字，导致以前的版本无法查看进程。。。

在pt里面可以找到这个流文件

百度百科介绍：http://baike.baidu.com/view/4497107.htm