Page 1 of 1

DeepGuard в F-Secure Internet Security 2010

Posted: Sat Oct 16, 2010 5:16 am
by Admin
Клиенты стали жаловаться на то, что программы, защищенные с помощью VMProtect при включенной опции "Защита памяти" не запускаются по причине "File corrupted...".
Делаем 2 дампа со включенным и выключенным DeepGuard в результате находим причину такого сообщения - оказывается F-Secure модифицирует в памяти DOS заголовок по смещению 1С, длина патча - 5 байт.

Code: Select all

typedef struct _IMAGE_DOS_HEADER
{
     WORD e_magic;
     WORD e_cblp;
     WORD e_cp;
     WORD e_crlc;
     WORD e_cparhdr;
     WORD e_minalloc;
     WORD e_maxalloc;
     WORD e_ss;
     WORD e_sp;
     WORD e_csum;
     WORD e_ip;
     WORD e_cs;
     WORD e_lfarlc;
     WORD e_ovno;
     WORD e_res[4];
     WORD e_oemid;
     WORD e_oeminfo;
     WORD e_res2[10];
     LONG e_lfanew;
} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;
Смещение 1С соответствует полю e_res. Как это поле может влиять на "расширенное отслеживание процессов" остается только гадать.

Вот такие пироги :))