┌──────────────────────────────────────────────────────────────────────────────────────────┐ EAX=E1004498 EBX=81FED3A8 ECX=00000170 EDX=00000000 ESI=81FED3A8 EDI=81FED3A8 EBP=B2231B44 ESP=B2231B38 EIP=80629893 o d I s Z a P c CS=0008 DS=0028 SS=0010 ES=0023 FS=0030 GS=0000 ────────────────────────────────────────────────────────────────────────────────────────── *ESP = 0 ▲ *EBP = B2231B74 < > ▼ ────────────────────────────────────────────────────────────byte──────────────PROT───(0)── 0010:00000000 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ................ ▲ 0010:00000010 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ................ ↑ 0010:00000020 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ................ 0010:00000030 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ................ 0010:00000040 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ................ 0010:00000050 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ................ 0010:00000060 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ................ 0010:00000070 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ................ 0010:00000080 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ................ 0010:00000090 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ................ 0010:000000A0 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ................ 0010:000000B0 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ................ 0010:000000C0 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ................ 0010:000000D0 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ................ ↓ 0010:000000E0 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ................ ▼ ─────ntoskrnl!MmUnmapViewInSystemSpace+41DD────────────────────────────────────────PROT32─ 0008:80629889 CMP DWORD PTR [ESI+000000A0],8056B84F ▲ 0008:80629893 JNZ 806298AD (NO JUMP) ↑ 0008:80629895 PUSH EAX 0008:80629896 CALL 80565DB1 0008:8062989B MOV ECX,[EBP+0C] 0008:8062989E MOV [ECX],EAX 0008:806298A0 MOV EAX,[EBP+10] 0008:806298A3 MOV BYTE PTR [EAX],00 0008:806298A6 XOR EAX,EAX 0008:806298A8 JMP 80629982 0008:806298AD PUSH EDI 0008:806298AE PUSH 7153624F 0008:806298B3 PUSH ECX 0008:806298B4 PUSH 01 0008:806298B6 MOV DWORD PTR [EBP-08],0000000F 0008:806298BD CALL ntoskrnl!ExAllocatePoolWithTag 0008:806298C2 TEST EAX,EAX 0008:806298C4 MOV EDI,[EBP+0C] 0008:806298C7 MOV [EDI],EAX 0008:806298C9 JNZ 806298D5 0008:806298CB MOV EAX,C000009A ; STATUS_INSUFFICIENT_RESOURCES 0008:806298D0 JMP 80629981 0008:806298D5 MOV EAX,[EBP+08] 0008:806298D8 PUSH EBX 0008:806298D9 PUSH DWORD PTR [EBP+14] 0008:806298DC MOV EBX,[EBP+10] 0008:806298DF LEA ECX,[ESI+68] 0008:806298E2 PUSH ECX 0008:806298E3 MOV BYTE PTR [EBX],01 0008:806298E6 PUSH DWORD PTR [ESI+00000080] 0008:806298EC ADD EAX,-04 0008:806298EF PUSH EAX ↓ 0008:806298F0 MOV [EBP+10],EAX < > ▼ (PASSIVE)─KTEB(81EC1C28)─TID(015C)──ntoskrnl!PAGE+000C5F89──────────────────────────────── ; skipped. ▲ [1301925011.968] NetworkAdapterFactory::getNetworkAdapters: Read configuration for "ROOT\↑ S_PTIMINIPORT\0000". [1301925011.968] NetworkAdapterFactory::getNetworkAdapters: Not a virtual ethernet adapter ; skipped. [1301925012.046] NetworkAdapterFactory::getNetworkAdapters: Read configuration for "ROOT\M S_NDISWANIP\0000". [1301925012.046] NetworkAdapterFactory::getNetworkAdapters: Not a virtual ethernet adapter ; skipped. [1301925012.109] NetworkAdapterFactory::getNetworkAdapters: Read configuration for "ROOT\M S_PSCHEDMP\0001". [1301925012.109] NetworkAdapterFactory::getNetworkAdapters: Not a virtual ethernet adapter ; skipped. ↓ : Enter a command (H for help) vmtoolsd └──────────────────────────────────────────────────────────────────────────────────────────┘