Показать сообщение отдельно
Старый 23.02.2015, 19:40   #32
Samodelkin
Мастер
 
Регистрация: 12.01.2009
Сообщений: 979
Написано 388 полезных сообщений
(для 631 пользователей)
Ответ: "Защита" *.DLL

Сообщение от h1dd3n Посмотреть сообщение
Это можно сделать и без виртуальной машины.
Не уверен. Программа выполняется в своём адресном пространстве. Чтобы профилировщик, отладчик получил к нему доступ, он должен быть запущен с привилегиями. Таким образом будет сложно получить какие-то подробные данные с удалённой машины пользователя без, например экрана UAC. Впрочем можешь более подробно перечислить что я могу получить с удалённого компьютера, а что нет, я исхожу из общего знания о том что процессы изолированы для защиты от случайного вмешательства и зловредов, возможно просто дамп и контекст получить можно, но хотелось бы более расширенной информации и отчета работы.

UPD: Вообще вот эта штука должна работать в режиме пользователя.

Сообщение от h1dd3n Посмотреть сообщение
Ты все время говоришь про какие-то там привелегии. Что ты имеешь в виду под "привелегиями" ? Отсутствие каких конкретно привелегий является проблемой для пакеров вроде темиды (исключая вариант с ring0 защитой) ?
Но именно ring0 их основная фишка. Да демка работает в обычном режиме и не требуется ничего ставить и никаких экранов UAC не появляется. Но я так понял что с таким подходом защита существенно ниже.

Сообщение от Igor
нет. Я имел в виду виртуализацию. Вся их возня с привиделегиями не спасёт их от того, что я поставлю virtual box, запущу там их приложение, а читать-модифицировать память буду из основной ОС.
А понятно. Ну есть методики которые применяются вирусописателями которые могут обнаружить что программа запущена на виртуальной машине и она откажется выполняться корректным образом. Разработчики Themida могли прибегнуть и к этому, имхо. Опять же можно и это обойти но это будет существенно сложнее.
(Offline)
 
Ответить с цитированием