<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 70.85pt 70.85pt 70.85pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="SK" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span lang="EN-US">Hi all,<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">I&#8217;d like to ask you for your help with analysis. The timers module shows that there is a strange DPC at 0x8647e4e0.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Timers module output:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Offset(V)&nbsp; DueTime&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Period(ms) Signaled&nbsp;&nbsp; Routine&nbsp;&nbsp;&nbsp; Module<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">---------- ------------------------ ---------- ---------- ---------- ------<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x873097d0 0x0000002f:0x2db9d0c3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0xa7386d8e arp1394.sys<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x85b9a2c8 0x8000002d:0x6d7d7c8e&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0x80538a98 ntoskrnl.exe<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8a332b20 0x0000002f:0x2ea5d991&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0xb9ddef1a NDIS.sys<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x863ead10 0x00010014:0x863ead28&nbsp;&nbsp;&nbsp; -205...072 Yes&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0x8647e4e0 UNKNOWN<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x85e451e8 0x00010014:0x85e45200&nbsp;&nbsp;&nbsp; -205...072 Yes&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0x8647e4e0 UNKNOWN<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">I am not able to identify where this procedure belongs to. I&#8217;ve been searching through&nbsp; Volatility documentation project for a hint, but with no luck so far.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Volshell show me that:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">&gt;&gt;&gt; dis(0x8647e4e0, length=32)<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4e0 e0e4&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; LOOPNZ 0x8647e4c6<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4e2 47&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; INC EDI<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4e3 86e0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; XCHG AL, AH<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4e5 e447&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; IN AL, 0x47<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4e7 86e8&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; XCHG AL, CH<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4e9 e447&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; IN AL, 0x47<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4eb 86e8&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;XCHG AL, CH<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4ed e447&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; IN AL, 0x47<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4ef 8600&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; XCHG [EAX], AL<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4f1 803b99&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; CMP BYTE [EBX], 0x99<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4f4 00403b&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ADD [EAX&#43;0x3b], AL<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4f7 99&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; CDQ<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4f8 00b0fd7f0000&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ADD [EAX&#43;0x7ffd], DH<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4fe 0000&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ADD [EAX], AL<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">...<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">...<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4c6 0000&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ADD [EAX], AL<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4c8 d00a&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ROR BYTE [EDX], 0x1<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4ca 93&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; XCHG EBX, EAX<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4cb 8a00&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; MOV AL, [EAX]<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4cd 0000&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ADD [EAX], AL<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4cf 20c8&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;AND AL, CL<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4d1 db12&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; FIST DWORD [EDX]<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4d3 8726&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; XCHG [ESI], ESP<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4d5 ad&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; LODSD<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4d6 74e1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; JZ 0x8647e4b9<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4d8 06&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; PUSH ES<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4d9 007000&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ADD [EAX&#43;0x0], DH<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4dc 0000&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ADD [EAX], AL<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4de 0000&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ADD [EAX], AL<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4e0 e0e4&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; LOOPNZ 0x8647e4c6<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4e2 47&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; INC EDI<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4e3 86e0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; XCHG AL, AH<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4e5 e447&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; IN AL, 0x47<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4e7 86e8&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;XCHG AL, CH<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4e9 e447&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; IN AL, 0x47<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4eb 86e8&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; XCHG AL, CH<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4ed e447&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; IN AL, 0x47<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4ef 8600&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; XCHG [EAX], AL<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4f1 803b99&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; CMP BYTE [EBX], 0x99<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4f4 00403b&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ADD [EAX&#43;0x3b], AL<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4f7 99&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; CDQ<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4f8 00b0fd7f0000&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ADD [EAX&#43;0x7ffd], DH<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e4fe 0000&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;ADD [EAX], AL<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e500 60&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; PUSHA<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e501 793b&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; JNS 0x8647e53e<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">&gt;&gt;&gt; dis(0x8647e53e)<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e53e 3e869ec7130008&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; XCHG [ESI&#43;0x80013c7], BL<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e545 1000 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;ADC [EAX], AL<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e547 0410&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ADD AL, 0x10<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e549 b268&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; MOV DL, 0x68<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e54b 8a10&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; MOV DL, [EAX]<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e54d b268&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;MOV DL, 0x68<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647e54f 8ad8&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; MOV BL, AL<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">So I looked around and found that at offset 0x80013000 is a executable file<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">&gt;&gt;&gt; db(0x80013000, length=512)<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x80013000&nbsp; 4d 5a 90 00 03 00 00 00 04 00 00 00 ff ff 00 00&nbsp;&nbsp; MZ..............<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x80013010&nbsp; b8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00&nbsp;&nbsp; ........@.......<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x80013020&nbsp; 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00&nbsp;&nbsp; ................<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x80013030&nbsp; 00 00 00 00 00 00 00 00 00 00 00 00 e0 00 00 00&nbsp;&nbsp; ................<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x80013040&nbsp; 0e 1f ba 0e 00 b4 09 cd 21 b8 01 4c cd 21 54 68&nbsp;&nbsp; ........!..L.!Th<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x80013050&nbsp; 69 73 20 70 72 6f 67 72 61 6d 20 63 61 6e 6e 6f&nbsp;&nbsp; is.program.canno<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x80013060&nbsp; 74 20 62 65 20 72 75 6e 20 69 6e 20 44 4f 53 20&nbsp;&nbsp; t.be.run.in.DOS.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x80013070&nbsp; 6d 6f 64 65 2e 0d 0d 0a 24 00 00 00 00 00 00 00&nbsp;&nbsp; mode....$.......<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x80013080&nbsp; 5d ed 0b 95 19 8c 65 c6 19 8c 65 c6 19 8c 65 c6&nbsp;&nbsp; ].....e...e...e.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x80013090&nbsp; 19 8c 64 c6 30 8c 65 c6 da 83 38 c6 1e 8c 65 c6&nbsp;&nbsp; ..d.0.e...8...e.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x800130a0&nbsp; da 83 6a c6 1b 8c 65 c6 da 83 3b c6 18 8c 65 c6&nbsp;&nbsp; ..j...e...;...e.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x800130b0&nbsp; da 83 3a c6 1c 8c 65 c6 da 83 3f c6 18 8c 65 c6&nbsp;&nbsp; ..:...e...?...e.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x800130c0&nbsp; 52 69 63 68 19 8c 65 c6 00 00 00 00 00 00 00 00&nbsp;&nbsp; Rich..e.........<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x800130d0&nbsp; 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00&nbsp;&nbsp; ................<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x800130e0&nbsp; 50 45 00 00 4c 01 07 00 b4 52 02 48 00 00 00 00&nbsp;&nbsp; PE..L....R.H....<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x800130f0&nbsp; 00 00 00 00 e0 00 0e 01 0b 01 07 0a 00 1d 00 00&nbsp;&nbsp; ................<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x80013100&nbsp; 00 08 00 00 00 00 00 00 d3 1c 00 00 00 03 00 00&nbsp;&nbsp; ................<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x80013110&nbsp; 00 0e 00 00 00 30 01 80 80 00 00 00 80 00 00 00&nbsp;&nbsp; .....0..........<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x80013120&nbsp; 05 00 01 00 05 00 01 00 01 00 0a 00 00 00 00 00&nbsp;&nbsp; ................<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x80013130&nbsp; 00 28 00 00 00 03 00 00 e6 f1 00 00 01 00 00 24&nbsp;&nbsp; .(.............$<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x80013140&nbsp; 00 00 04 00 00 10 00 00 00 00 10 00 00 10 00 00&nbsp;&nbsp; ................<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x80013150&nbsp; 00 00 00 00 10 00 00 00 00 00 00 00 00 00 00 00&nbsp;&nbsp; ................<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x80013160&nbsp; 1c 1d 00 00 50 00 00 00 00 22 00 00 f8 03 00 00&nbsp;&nbsp; ....P....&quot;......<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x80013170&nbsp; 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00&nbsp;&nbsp; ................<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x80013180&nbsp; 00 26 00 00 1c 01 00 00 b0 0e 00 00 1c 00 00 00&nbsp;&nbsp; .&amp;..............<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x80013190&nbsp; 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00&nbsp;&nbsp; ................<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x800131a0&nbsp; 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00&nbsp;&nbsp; ................<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x800131b0&nbsp; 00 00 00 00 00 00 00 00 00 0e 00 00 ac 00 00 00&nbsp;&nbsp; ................<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x800131c0&nbsp; 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00&nbsp;&nbsp; ................<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x800131d0&nbsp; 00 00 00 00 00 00 00 00 2e 74 65 78 74 00 00 00&nbsp;&nbsp; .........text...<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x800131e0&nbsp; 84 0a 00 00 00 03 00 00 00 0b 00 00 00 03 00 00&nbsp;&nbsp; ................<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x800131f0&nbsp; 00 00 00 00 00 00 00 00 00 00 00 00 20 00 00 68&nbsp;&nbsp; ...............h<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">, but this one seems to be battc.sys driver (how can I dump this using the offset 0x80013000?)<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x80015180&nbsp; 7a 65 44 65 76 69 63 65 00 00 42 41 54 54 43 2e&nbsp;&nbsp; zeDevice..BATTC.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x80015190&nbsp; 53 59 53 00 46 ec 25 ff 00 3d 00 00 74 03 e9 03&nbsp;&nbsp; SYS.F.%..=..t...<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">I also tried to look around the offset 0x8647e4e0 for some strings<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x864716a0&nbsp; 00 00 00 00 00 00 00 00 00 00 00 00 43 3a 5c 50&nbsp;&nbsp; ............C:\P<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x864716b0&nbsp; 72 6f 67 72 61 6d 20 46 69 6c 65 73 5c 57 61 76&nbsp;&nbsp; rogram.Files\Wav<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x864716c0&nbsp; 65 20 53 79 73 74 65 6d 73 20 43 6f 72 70 5c 53&nbsp;&nbsp; e.Systems.Corp\S<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x864716d0&nbsp; 65 72 76 69 63 65 73 20 4d 61 6e 61 67 65 72 5c&nbsp;&nbsp; ervices.Manager\<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x864716e0&nbsp; 44 6f 63 4d 67 72 5c 62 69 6e 5c 64 6f 63 6d 67&nbsp;&nbsp; DocMgr\bin\docmg<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x864716f0&nbsp; 72 2e 65 78 65 00 00 00 00 00 00 00 00 00 00 00&nbsp;&nbsp; r.exe...........<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">google: DocMgr from Wave Systems Corp.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x86471890&nbsp; 00 00 00 00 43 3a 5c 57 49 4e 44 4f 57 53 5c 73&nbsp;&nbsp; ....C:\WINDOWS\s<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x864718a0&nbsp; 74 73 79 73 74 72 61 2e 65 78 65 00 00 00 00 00&nbsp;&nbsp; tsystra.exe.....<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">google: Sigmatel Audio system tray application
<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x86474ce0&nbsp; 00 00 00 00 00 00 00 00 00 f0 c1 9c 53 62 54 72&nbsp;&nbsp; ............SbTr<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x86474cf0&nbsp; 61 79 4d 61 6e 61 67 65 72 2e 65 00 00 00 00 00&nbsp;&nbsp; ayManager.e.....<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">google: known as the Safe Boot Tray Manager software<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647db30&nbsp; 0d 00 04 0a 56 69 47 63 65 00 78 00 70 00 6c 00&nbsp;&nbsp; ....ViGce.x.p.l.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">0x8647db40&nbsp; 6f 00 72 00 65 00 72 00 2e 00 65 00 78 00 65 00&nbsp;&nbsp; o.r.e.r...e.x.e.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Could it be that the unknown timer was registered by the battc.sys?<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">If anybody can push me the right direction, I&#8217;ll be more than thankful.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Thank you<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p>&nbsp;</o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Jaro<o:p></o:p></span></p>
</div>

<DIV>
The information in this message may be proprietary and/or confidential, and protected from disclosure. If the reader of this message is not the intended recipient, or an employee or agent responsible for delivering this message to the intended recipient, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error, please notify First Data immediately by replying to this message and deleting it from your computer.<BR>
</DIV></body>
</html>