Сообщение от h1dd3n
Это можно сделать и без виртуальной машины.
|
Не уверен. Программа выполняется в своём адресном пространстве. Чтобы профилировщик, отладчик получил к нему доступ, он должен быть запущен с привилегиями. Таким образом будет сложно получить какие-то подробные данные с удалённой машины пользователя без, например экрана UAC. Впрочем можешь более подробно перечислить что я могу получить с удалённого компьютера, а что нет, я исхожу из общего знания о том что процессы изолированы для защиты от случайного вмешательства и зловредов, возможно просто дамп и контекст получить можно, но хотелось бы более расширенной информации и отчета работы.
UPD: Вообще
вот эта штука должна работать в режиме пользователя.
Сообщение от h1dd3n
Ты все время говоришь про какие-то там привелегии. Что ты имеешь в виду под "привелегиями" ? Отсутствие каких конкретно привелегий является проблемой для пакеров вроде темиды (исключая вариант с ring0 защитой) ?
|
Но именно ring0 их основная фишка. Да демка работает в обычном режиме и не требуется ничего ставить и никаких экранов UAC не появляется. Но я так понял что с таким подходом защита существенно ниже.
Сообщение от Igor
нет. Я имел в виду виртуализацию. Вся их возня с привиделегиями не спасёт их от того, что я поставлю virtual box, запущу там их приложение, а читать-модифицировать память буду из основной ОС.
|
А понятно. Ну есть методики которые применяются вирусописателями которые могут обнаружить что программа запущена на виртуальной машине и она откажется выполняться корректным образом. Разработчики Themida могли прибегнуть и к этому, имхо. Опять же можно и это обойти но это будет существенно сложнее.