Предлагаю взглянуть на скриншот сравнения анализа работы 2х файлов: рабочего и не рабочего.


Отладчик стоит после вызова CALL из модуля kernel32.dll ,как видно в регистре EDX должен быть адрес ссылки на функцию KiFastSystemCall.ntdll .Вместо этого там какая-то фигня,и ещё и пишет что ERROR_INVALID_HANDLE.
Я так понимаю,что функция лезет в память искать хэндл какого-то процесса и не находит его. Или нет?

| Сообщение посчитали полезным:

а при чем здесь основной форум?

| Сообщение посчитали полезным:

внимание наверное надо обращать на "распакованый нерабочий дамп"
значит, распакуйте правильно
либо вообще какая нибудь защита которая перестает работать с распакованым файлом

| Сообщение посчитали полезным:

StarForce все-таки не ломается или это уже SolidShield?

| Сообщение посчитали полезным:

LemonCake как задаешь вопрос, так и отвечают.
Ты предлагаешь нам сделать гадание по фото.

Предлагаю тебе выложить минимальный набор проги и приложить нерабочий дамп.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Вопрос задан конкретно,некоторые видимо не могут или не хотят раскрыть глаза.От мании величия.
Из дампа вызывается CALL в модуль kernel32.dll ,там отрабатывается код или функция,результат которой вы видите на скриншоте. EDX формируется в ней же. Но код kernel32 у нас константа,т.е. каким то образом в 2х вариантах проги этот код выполняется по разному

| Сообщение посчитали полезным:

Как я предполагаю,код работает следующим образом:
dump.CALL kernel32.DeviceIOControl ---> проверка хэндла драйвера защиты
1. драйвер защиты загружен - EAX=1 ,EDX=ntdll.KiFastSystemCall ,ERROR=SUCCESS
2. драйвер защиты отсутствует EAX=0, EDX=мусор, ERROR=INVALID HANDLE

| Сообщение посчитали полезным:

Не обращайте внимания, это свиновод периодически регает новые ники и дрыгается.

| Сообщение посчитали полезным: