причём здесь "Спинлок"? вы тоже с мануалами боретесь??
Vam! не понял ентот лог ваапше. сам exe файл тоже надо приатачить ведь..
dermatolog! ПРОЧИТАЙТЕ МАНУАЛ! XCHG И БЕЗ ПРЕФИКСА LOCK делает ЛОК. за спасибо, дайте нам авторские имена VM-хенлдеров ~:
кстати, dermatolog, щас усмотрел, что XCHG тоже виртуализуете; но оно имеет LOCK-ирующий! не правильно как-то..
push 3202h popfd retf то Ring0 код
слушии! читаю значить импортировпнные блоги nezumi.. трюки анти олли потом вдруг: сижу в аёропорте.. то да сё короче ну..
слушии! этот nezumi ваапше кто!?
нуу.. на данный момент VM-protect в другой галактике от оптимизаций
ндаа.. а вот изза того что Esp не эмулируется в VM-регистрах, возможен облом! вот такой код не обламает програму, но VM обламается mov edx esp |...
не запутываете меня! ~: D нам нужно иденифицировать только рабочие функции-примитивы = хендлеры, чем работает VM и с помощью которых...
смотреть в дебагере
вы имеете в виду ЛОГИЧЕСКИЕ инструкции, которые VM виртуализует. так?
я ваще думал што у ентого VM 256 опкодов.. но оказалось 47 в основном. AddByteByte_SS2 AddDwordDword AddWordWord_SS2 DIV6432 Div168_SS2 ExitVM...
нет
k3internal, прочитали мой пост? назначаете премию за декомпиль "сэмпла" и никакой тревоги в душе :D PS. да, декомпиль = VMbytecode > asm
нуу, я вроде-бы предложил уже "мужской" вариант решения (историческое название = ПАРИ), который позволяет избежать ребячества...
вы памятник себе воздвигли нерукотворный!
m$-SYSENTER-EIP mov ecx,ss:[0FFDFF040 mov esp,ss:[ecx][04] mov ecx,07FFE0304 cmp esp,[0FFDFF004] je...
отвлекли.. 32 байта нужно копировать. НО! у m$ там особая реализация SYSENTER-EIP кода. изза этого, не рекомендую переадресацию а лучше делать...
ещё проще! (начинающим) скопируйте 64 байты от GDT+08 (где m$-имеет) на выделенное место в GDT. потом пиЩете MSR EIP ...
Имена участников (разделяйте запятой).
