DeepGuard в F-Secure Internet Security 2010

Discussion of other issues
Post Reply
Admin
Site Admin
Posts: 2562
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

DeepGuard в F-Secure Internet Security 2010

Post by Admin »

Клиенты стали жаловаться на то, что программы, защищенные с помощью VMProtect при включенной опции "Защита памяти" не запускаются по причине "File corrupted...".
Делаем 2 дампа со включенным и выключенным DeepGuard в результате находим причину такого сообщения - оказывается F-Secure модифицирует в памяти DOS заголовок по смещению 1С, длина патча - 5 байт.

Code: Select all

typedef struct _IMAGE_DOS_HEADER
{
     WORD e_magic;
     WORD e_cblp;
     WORD e_cp;
     WORD e_crlc;
     WORD e_cparhdr;
     WORD e_minalloc;
     WORD e_maxalloc;
     WORD e_ss;
     WORD e_sp;
     WORD e_csum;
     WORD e_ip;
     WORD e_cs;
     WORD e_lfarlc;
     WORD e_ovno;
     WORD e_res[4];
     WORD e_oemid;
     WORD e_oeminfo;
     WORD e_res2[10];
     LONG e_lfanew;
} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;
Смещение 1С соответствует полю e_res. Как это поле может влиять на "расширенное отслеживание процессов" остается только гадать.

Вот такие пироги :))
Post Reply