> будет тоже на порядок больше нормы Критерий "нормы" и как ее узнать в студию!
WinXP SP2 - не запускается - Could not create process
> function IsVMwarePresent() BTW, детект версии вмвары отключается одной строчкой в конфиге, и соответсно ничего не продетектится.
> Нужна инфа по ресурсам и работе с ними загрузчика. Если интерес с точки зрения ниписания пакера, то для 100% совместимости нужно оставить...
> Для защиты ресурсов я использовал несколько необычный метод. Скорее кривой, а не необычный - пропадут иконки, стили под XP, а про всяческие...
А я бы сделал dll, прицепил ее к импорту клиента, и в DLL_PAROCESS_ATTACH патчил бы нужное место в клиенте на вызов функции из dll. А уж с помошью...
проверь наличие релоков ;)
> выполнять байт-код с начала секции. Нет, это все записано в PE заголовке, в поле IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR
А потомучта, под XP у .NET приложений не вызывается точка входа, выполнение сразу начинается с байткода, а он естесно еще пожат невызванным...
> Если памяти мало и испольутся 4 кб страницы, то да, если 4 мб - то нет. Буим знать и привыкать учиться на чужих ошибках. Спасибо за инфу.
> Перед именением кода драйвера в памяти, нужно сбросить WP бит А разве код драйвера защищен от записи?
> похоже они патчат импорт программы и все API работы с файлами хучат Именно, это какраз чтобы сделать виртуальную файловую систему....
> Можно глянуть Естесно нельзя :-) Напиши сам - обьем работы я уже поределил. Иначе это будет секрет Полишенеля. Только офсеты вколити, а дальше...
Ставь бряку в первый tls-callback, первый декриптор там ;-)
Жмет с помошью lzo1x, криптует rc4, распаковщик - 500 строк на С.
Гм, аттач при правке сообщения не прицепляется :) [img] 118583305__icqsniff.zip
Это можно узнать только если у вас обоих состоялся direct-connection (а это как минимум означает что у обоих он должен быть разрешен, что у обоих...
Ну да, Ильфик регулярно вносит левые ключи в свою базу. IDA 4.80 говорит upgrading -> corrupted Нужно или вычистить из базы подпись, или патчить...
> сделай CLI А что будет на многопроцессорной системе? А там где hyper-threading?
Ну это уже не ново - ExeCryptor, VMProtect, StarForce, ASProtect Скорость взлома упирается в скорость написания дизассемблера для конкретной VM....
Имена участников (разделяйте запятой).
