Вроде бы с сабжем не первый раз сталкиваюсь, скачал getright последний и никак не могу понять каким образом первый процесс расшифровывает кодовую секцию второго процесса. WaitForDebugEvent не используется, Get/SetThreadContext не вызываются.

OEP = 552A30

На oep как и во всей кодовой секции одни нули. Обычно waitfordebugevent ловит exception и подставляет страницу кода.

Я уже стал думать, что этим начал заниматься второй процесс - но в FS:0 обработчика исключений нет.

Каким еще образом может ловиться исключение ???
UnhandledExceptionFiltr установлен, но управление туда не передается.

Если кто знает - ПОДСКАЖИТЕ!

www.getright.com/get.html

или прям здесь

dl.filekicker.com/send/file/127298-4834/getrt52a.exe

| Сообщение посчитали полезным:

хех, может там не арма теперь? =) peid что говорит?

-----
once you have tried it, you will never want anything else

| Сообщение посчитали полезным:

а пейд давно уже новые версии армы не знает

| Сообщение посчитали полезным:

gloom пишет:
хех, может там не арма теперь? =) peid что говорит?

Это арма, там есть наномиты и они обрабатываются стандартным образом через WaitForDebugEvent.
Расшифровка же кодовой секции идет не стандартным образом - и вообще непонятно как такое возможно. Если бы она юзала дрывера еще можно было бы понять - а так, хз.

Видимо, всем всем лень качать 3 метра

| Сообщение посчитали полезным:

Вопрос снимается.
Следствие из первого поста: дешифрование секции там не используется - только наномиты и хренова туча переходов (E9) из кодовой секции.

| Сообщение посчитали полезным: