Одним из (безуспешных методов) выявления айса является проверка успешности функции CreateFile при попытке открытия объектов:
SoftICE для Win9x : "\\.\SICE"
SoftICE для WinNT : "\\.\NTICE"
Объясните, плиз, как это проиходит? Точнее почему "голый" айс (я имею ввиду без всяких патчей) ловится таким образом?

| Сообщение посчитали полезным:

When using CreateFile to open a handle directly to a device, an application
must use the special characters " \\ .\" to identify the device. For example,
to
open a handle to drive A, specify " \\ .\a:" for the lpszName parameter of
CreateFile.

т.е. проверяется наличие загруженного драйвера, вроде так,
пусть меня поправят, если что...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Т.е. при попытке подгрузить уже загруженый драйвер айса должна возникнуть ошибка?
А каким образом тогда патчат эту лазейку?

| Сообщение посчитали полезным:

не ошибка, а вернётся хендл <> 0... вроде так..
а патчат легко, достаточно найти в ехе айса строку
SICE или NTICE и изменить её на что-нить другое

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Саму дровину надо переименовать и зарегать с этим именем.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: