Каким образом возможно защитить Win API (bpx,bpm)?
Возможно ли из 3 кольца менять обработчики 3 и 1 прерываний? Если можно то как(пример кода очень желателен)? Насчёт bpm менять контекст не подходит,
потому как айс не даёт менять др-ы.

Да и просьба простых вариантов типа телок и песпин не предлагать. Желательно описание работы аспра 2 в этом направлении и его аналогов.

sl0n
Ты почитай сначала "Об упаковщиках в последний раз" и др. статьи по реверсингу, и потом спрашивай конкретные вопросы.
Вряд ли кому-то захочется проводить здесь ликбез, да ещё и с исходными кодами.

> Каким образом возможно защитить Win API (bpx,bpm)?
Дизасм первого десятка команд и поиск CCh

> Возможно ли из 3 кольца менять обработчики 3 и 1
Нет естесно =)

> Насчёт bpm менять контекст не подходит, потому как айс не даёт менять др-ы.
Вопервых айсом сейчас все менше пользуются - всем подаваю гую, а во вторых dr надо не обнулять а использовать для чего-нибудь стоящего, например хранить в них указатели или ключи для раскриптовки =)

Asterix - Во первых вопрос был задан конкретно. Во вторых
ликбез мне не нужен я спрашивал про РЕДКИЕ методы.
Да упаковщиков я читал - интересный текст

Голова дизамить по инструкциям и искать не подходит пихается бряк на более глубокую функцию и усё (нтдлл).
Да, дизасм инструкций делает песпин при помощи движка андерикса из последнего 29а. Когда его смотрел так удивился знакомому коду Ж)

Слушай Голова, а ты и в самом деле ГОЛОВА, это насчёт др-ов, суём туда ключ и если под айсом то XYZ раскриптуешь.

Люди ещё идеи какие нибудь есть? Вопрос насчёт антитрассировки если я сделаю к примеру классику (rdtsc),
а у меня система то многозадачная и лаг от нагрузки разный... То прога будет работать через раз Ж(( Что можно
предпринять?
Это идея ... Ж)

Голова дизамить по инструкциям и искать не подходит пихается бряк на более глубокую функцию и усё

надо использовать и дизасмить самую "глубокую" ф-ю (native в NT+).
хотя можно дизасмить не самую "глубокую", но с заходом во внутрение процедуры.
проблема в том, что даже при отсутствии отладчика, в длл-ках есть коды CCh, видимо в ветках, обрабатывающих фатальные ошибки.

Слушай Голова, а ты и в самом деле ГОЛОВА, это насчёт др-ов, суём туда ключ и если под айсом то XYZ раскриптуешь
плохо ты читал Володину статью :)
там даже кусок кода приводился от telock'а

Что можно
предпринять?
realtime priority?

Да этот кусочек про телок я упустил или не правильно понял ... Я относился к сбросу др-ов в телоке как снятию отладочных брейков, и потому думал, что это в новом айсе отдыхает Ж(

А вторую сторону медали я не разглядел ...

Ещё варианты?

Вопрос насчёт антитрассировки если я сделаю к примеру классику (rdtsc)

Твоя т.н. классика полностью и однозначно засовывается в... гм... Далеко, короче. Твой rdtsc легко проэмулировать. В третьих упаковщиках (а эта глава уже готова) детально расписывается, что делать и как.
Так что, если ты хочешь что-то сделать в третьем кольце - самое реальное - это поступить так, как предложил Dr.Golova. И почитай вторую часть - там расписан кусок с самотрассировкой на DR-регистрах. Возьми с сайта, т.к. я чуток перетряхивал статью несколько раз.

"Очень даже интересно как вы называете документ не нужным"
(С)Швондер Ж))
Когда ждать 3-ей части ? А я вот надеялся что хоть volodya
что нибудь толковое скажет - какие нибудь не тривиальные идеи, трюки в третьем кольце ...