DeepGuard в F-Secure Internet Security 2010
Posted: Sat Oct 16, 2010 5:16 am
Клиенты стали жаловаться на то, что программы, защищенные с помощью VMProtect при включенной опции "Защита памяти" не запускаются по причине "File corrupted...".
Делаем 2 дампа со включенным и выключенным DeepGuard в результате находим причину такого сообщения - оказывается F-Secure модифицирует в памяти DOS заголовок по смещению 1С, длина патча - 5 байт.
Смещение 1С соответствует полю e_res. Как это поле может влиять на "расширенное отслеживание процессов" остается только гадать.
Вот такие пироги )
Делаем 2 дампа со включенным и выключенным DeepGuard в результате находим причину такого сообщения - оказывается F-Secure модифицирует в памяти DOS заголовок по смещению 1С, длина патча - 5 байт.
Code: Select all
typedef struct _IMAGE_DOS_HEADER
{
WORD e_magic;
WORD e_cblp;
WORD e_cp;
WORD e_crlc;
WORD e_cparhdr;
WORD e_minalloc;
WORD e_maxalloc;
WORD e_ss;
WORD e_sp;
WORD e_csum;
WORD e_ip;
WORD e_cs;
WORD e_lfarlc;
WORD e_ovno;
WORD e_res[4];
WORD e_oemid;
WORD e_oeminfo;
WORD e_res2[10];
LONG e_lfanew;
} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;
Вот такие пироги )