Вобщем как я понял( а он не говорил), то он портачит заголовок не только в Виртуальной памяти, Но и в файле!!! А как я знаю(из упаковщиков), PE-tools опирается на файл. Вобщем дамп что я снял не работает, интересно а какие еще методы есть против дампа?
Themida хучит ZwQueryVirtualMemory и ZwReadVirtualMemory. Таким образом, дампер не сможет физически прочитать память процесса, чтоб снять дамп. Ещё ZwDebugContinue и всякие ZwCreateThread чтоб у отладчика не осталось шанса обходными путями пробраться к памяти процесса А потом ещё ставит свои обработчики int 1, int 3, int 0xe, int 0xb чтоб отладчику стало совсем плохо.
Quantum если не считать требования работать в нуле. Имхо защита, требующая доступ в ноль, и, тем более, установки своего драйвера без сертифика WHCL не имеет права на существование. Очень надеюсь что в висте так оно и будет и всякий криворукие писатели заshit начнут наконецто думать вместо написания падучих и глючных компонент
А работающего метода под User-моду есть? Понимаю наивно, легко обойти, но хотя бы чуть-чуть поплутать.
EvilsInterrupt В статье Володи и Макса по упаковщикам, кажется, есть один очень простой и известный, но вполне действенный трюк для юзер-мода. Ещё в статье "Способы обхода отладчиков режима пользователя" by R4DX.
