Распаковка ReCrypt 0.80.

Статья посвящена обработке user-mode исключений в Windows.

Распаковка ASProtect.2.3.04.26.a. Часть 1.

Распаковка ASProtect.2.3.04.26.a. Часть 2.

Разбор скрипта Ularteck'а.

Для чего обычно используется преобразование кода? Для сокрытия важных частей алгоритма, для затруднения взлома и сигнатурного анализа. Глупо было бы думать, что этим трюком пользуются только легальные корпорации и фирмы. Разработчики вредоносного программного обеспечения прочно забронировали себе места в топе подобных достижений. Только используются они для сокрытия и затруднения анализа вирусов.

Совместно используемый объект “раздел” может служить средством обмена данными не только для пользовательских процессов, но и для драйверов. В этой статье именованный раздел используется для обмена данными между пользовательским процессом и драйвером.

Операция выделения памяти из системных пулов требует времени, т.к. диспетчер куч пытается подобрать свободный блок подходящего размера. Так называемые ассоциативные списки, при правильном использовании, могут сократить это время до минимума.