Booster Кстате строка которая вешает эмулятор/трасер: 0xDB, 0xE2, 0x9B, 0x0F, 0x01, 0xE0, 0xA8, 0x08, 0x75, 0xF9, 0x0F, 0x01, 0xE0, 0xA8, 0x08,...
Stiver Это только теория, ни легальный софт ни малвара по большей части это не использяет, довольно редко.
Booster Да. Но это довольно редко применяется, практически весь софт накрыт самораспаковывающимися протекторами.
Вопрос приводит к разделению - всякая защита, которая после отработки восстанавливает в памяти образ не может называться защитой. Наверное o14189...
GoldFinch Если трассируется юзермодный код и если трассировщик ядерный выполнен надлежащим образом, то трассировка абсолютно никак не скажется на...
Виртуализация редко применяется, обычно запустил и распаковывается. Booster Я к примеру сказал, трассировате его незачем. А антиотладка - я...
TSS Какой есчо граф. Если должна быть выполнена загрузка модуля, то LdrLoadDll() будет полюбому вызван. Мутируйте/виртуализируйте как угодно -...
Прнивет всем. Прочитал тут одну тему и подумал. Большая часть софта накрыта протекторами и все стремяться их снять, распаковав модуль(дамп,...
А какой смысл в защите драйвера ? Ну не сможем сдампить(что врятле..) и всё на этом. Аналогично как в юзермоде - пачки какихто протов, тока толку...
Freeman ContextFlags 1003F regEip 0 regSegCs 0 regEFlags 0 Ядро не позволит обнулить кодовый селектор.
1 or 1 = 1 :)
o14189 Только как справка по железу.
MaxOn Не валидный контекст.
wertyman В стопяцотой строке ошибка, вы забыли в контексте стек определить :D
o14189 Кулаков пишет(писал ?) полную чушь копипастом, гадко смотреть на его сурцы.
wertyman Какой есчо коннект, этой функцией создаётся нативный тред и код ошибки должен быть ядреный, в нтстатус 0?10055 такого нет.
MaxOn Физически не находите, для этого нужно мапить физическую память, нормально этим хал занимается. Возник сепшин - описание его и контекст в...
*загружает селектор без маски в Fs
barmaley57 Ну ладно, та версия с ошибками, точнее разными людьми писалась. Например BaseInitializeContext() загружает селектор с маской в Fs,...
[5.00.2195.6688]: Fs = 0x3B. Как вы это значение смотрите ?
Имена участников (разделяйте запятой).
