baduin, короче можно сказать, что это распаковка по одной инструкции. Без записи её куда-либо. P-code... Хм... Где ты такое слово нашёл? Ведь...
Мне интересно, свзяно-ли понятие виртуальная машина с каким-нибудь интерфейсом windows. Вот например ВМпротект просто переводит скормленный ему...
И ещё неплохо было бы найти описание того, какие методы защиты использует Starfoce.
Вот много читал про то, что их используют например StarForce, ACProtect, VMProtect... Но вот не нашёл в инете ни одной статьи насчёт того, что...
Я не про то. А про то, что об этом на сайтах по отладке написано. =) Как обходить.
Athlon, такой я видел и не раз. Это несерьёзно.
И не должно быть. =) Она не документирована.
Т. е. проблема решается перехватом ZwQuerySystemInformation? А насчёт антисайса - скинь линки плиз.
Ms Rem, а что за список EPROCESS? =) Как получить его адрес? Это типа массив? Я просто посмотрел определине EPROCESS (сразу подумал, что это...
Да-да... Меня тоже интересует этот вопрос. И ещё я нашёл несколько защит от отладки SoftIce'ом... Но это не спасает. :( Может кто даст линки?
Итак, если кому интересно - я выловил все уникальные хэндлы, открытые в csrss, svchost, lsass. Сделал это так: через Process Explorer...
Ms Rem, расскажи поподробнее про "Пермутации и ВМ"... Хотя бы вкратце, что такое, где искать об этом. ВМ - это я так понял виртульная машина. Где...
Какие есть и чем лучше паковать? У меня есть только nspack и upx... Они не берут :(
Ms Rem о нём и написал.
Вопрос такой: когда в драйвере используешь DbgPrint, то чем можно посмотреть выводимую инфу кроме SoftIce? И желательно чтобы процессы не...
Да, Outpost глючная вещь. У меня Apache2+MySQL стоит и сайтик, который довольно часто посещают. Так вот я бсоды ловил по несколько раз в день от...
Ms Rem, не важно. Помогло.
Значится, дело происходит в ring0. Перехват NtProtectVirtualMemory. Долго мучался, но никак не могу получить ID процесса по его хендлу....
Что произойдёт раньше: завершение выполнения DllMain в библиотеках, прописанных в директории импорта или появление процесса в списках user-mode,...
Так что, никакой информации не будет?
Имена участников (разделяйте запятой).
