Вот что я нашел, ковыряясь в недрах ntdll:

7C91D594 2E 61 73 70 61 63 6B 00 2E 70 63 6C 65 00 00 00 .aspack..pcle...
7C91D5A4 2E 73 66 6F 72 63 65 00 CC CC CC CC CC CC 90 90 .sforce.ММММММђђ


Интересно что бы это могло значить? Никто не знает "pcle" это тоже какой нибудь пакер/протектор?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Это значит баян=) Давно не секрет, что в целях совместимости протекторов и пакеров с ДЕП-ами всякими винда включает разрешение выполнения кода в секциях с таким названием.

| Сообщение посчитали полезным:

Безный execryptor у него ж имена секций такие страшные

-----
Get busy living or get busy dying ©

| Сообщение посчитали полезным:

А причом сдесь DEP'ы? они вроде ограничивают выполнение код только в кучах.

-----
have a nice day

| Сообщение посчитали полезным:

www.google.com/search?client=opera&rls=ru&q=ntdll+sforce&sourceid=opera&ie=utf-8&oe=utf-8
первая ссылка.

| Сообщение посчитали полезным:

Nimnul пишет:
они вроде ограничивают выполнение код только в кучах.

запрещает выполнение кода на стеке

| Сообщение посчитали полезным:

Asterix пишет:
запрещает выполнение кода на стеке + контролирует правильность использования выделенной памяти при различных параметрах

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

И все это накрывается медным тазом, если секцию .sforce назвать?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Asterix

Из справки виндовса:

Предотвращение выполнения данных (DEP) используется для предотвращения проникновения на компьютер вирусов и других угроз безопасности, которые выполняют вредоносный код из областей памяти, которые должны использоваться только операционной системой Windows и другими программами. Такой тип угроз безопасности наносит ущерб, занимая по очереди все области памяти, используемые программой. Затем вирус распространяется и повреждает другие программы, файлы и даже контакты электронной почты.

В отличие от брандмауэра или антивирусной программы средство DEP не препятствует установке потенциально опасных программ на компьютер. Вместо этого выполняется наблюдение, чтобы программы использовали системную память безопасным образом. Для этого DEP работает отдельно или вместе с совместимыми микропроцессорами и помечает некоторые области как «невыполняемые». Если программа пытается запустить код (любой код) из защищенной области, DEP закрывает программу и отображает уведомление.

ПС: Выполнение кода в стеке и так запрешенно в ленейке НТ. Переполнение буфера чаще всего происходит именно в куче.
 

-----
have a nice day

| Сообщение посчитали полезным:

и даже контакты электронной почты.

Сразу видно что буржуи ценят больше всего

-----
have a nice day

| Сообщение посчитали полезным:

Nimnul пишет:
ПС: Выполнение кода в стеке и так запрешенно в ленейке НТ.

я промолчу, может сам исправишь

| Сообщение посчитали полезным:

Asterix

А что исправлять? следующий код у меня не работает w2k3 sp1


int _tmain(int argc, _TCHAR* argv[])
{
__asm
{
push 0000C300h;
push 000100B8h;
call esp;
}
return 0;
}


-----
have a nice day

| Сообщение посчитали полезным:

Nimnul пишет:
А что исправлять?
Может Asterix имел ввиду твою орфографию?
ЗЫ: Знание орфографии - это как знание кунг-фу: мастера применяют только в особых случаях

| Сообщение посчитали полезным:

Nimnul пишет:
А что исправлять? следующий код у меня не работает w2k3 sp1

В w2k3 sp1 есть ДЕП.

| Сообщение посчитали полезным:

Nimnul
ты сказал про всю линейку NT, вот и проверь свой код под NT и 2k, может потом и исправишься
или читай Руссиновича(посл. издание), у него написано в какой системе поддерживается DEP

| Сообщение посчитали полезным:

Nimnul
вот еще про DEP и про глюки call esp под разными процами
www.wasm.ru/forum/action=vthread&forum=4&topic=12112

| Сообщение посчитали полезным:

кстати, если пакер будет иметь секции с теми же названиями секций, сможет ли он прокосить под aspack и др. пакеры(проты) что в исключениях у винды?

| Сообщение посчитали полезным:

Asterix
XP SP2, DEP включено, можно исполнять в стеке спокойно, нельзя только SEH-frame'ы данными перезаписывать. Далее, можно ведь запросто esp поменять на адрес кода. Если секция доступна и для записи, и esp будет указывать внутрь неё, никаких проблем не будет.
Код, выполняемый в стеке, вместе со всеми подготовительными операциями писался на tasm. Что-то я начинаю подозревать, что DEP включается вместе с user32.dll или чем-то подобным.
Только я не call esp юзал, а jmp esp.

| Сообщение посчитали полезным:

NullSession пишет:
XP SP2, DEP включено, можно исполнять в стеке спокойно

имеет еще значение процессор ;)

| Сообщение посчитали полезным:

вот приложение для теста, если не запустится(вылезет окно с предупреждением) то DEP пашет

d279_11.04.2006_CRACKLAB.rU.tgz

| Сообщение посчитали полезным:

shit! russian keyboard died...

Asterix пишет:
то DEP пашет
Sysem: Windows XP SP2+All patches+Windows FireWall
DEP not work!

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
Свойства системы -> Дополнительно -> Быстродействие -> Параметры -> Предотвращение выполнения данных

Включить DEP для всех программ и служб, кроме выбранных ниже:
------------------------------------------------------------------

ядро должно быть ntkrnlpa.exe(на ntoskrnl.exe походу DEP не пашет)

проц должен быть поддерживающим аппаратный DEP(AMD64 например)

| Сообщение посчитали полезным: