Написал простую дллку. Code: case DLL_PROCESS_ATTACH: { TCHAR szPath[MAX_PATH]; if( !GetModuleFileName( NULL, szPath, MAX_PATH ) ) { return FALSE; } char c[256]={0}; _splitpath(szPath,NULL,NULL,c,NULL); if(strcmpi(c,"notepad")!=0) { MessageBox(0,"Debug",0,0); } return true; } Ну естественно что никто не ругается но: PEiD..: Armadillo v1.xx - v2.xx LINK
Использовать это не получится. Это ж просто "инфо", ну разве что кто то из AV-ов опирается на это "инфо" при поытке распаковки Проверил снова: LINK Резалт тот же. Пустая ДЛЛ-ка с MessageBox - PEiD..: Armadillo v1.xx - v2.xx Он наверное на VC6++ так реагирует. У кого другой компилер есть - проверьте плиз
Перепробовал все возможные пеид которые у меня есть - все говорят VC6++ Толи они спецом пишут фейк, толи у них поглючила бд сигнатур ПеИд-а Я сказал что юзать это не получится никак - просто баг и все.
да ну какой им прикол фэйк писать. юзают не дефолтные сигны вот и всё. пс: а вот найти какоенить переполнение в софте которое они юзают было бы весело, типа вон в пеиде же было как то.
В аверах постоянно на баграках баги находят. Надо брать. кодить сплоенты и пробовать его завалить - думаю онн многим помогает но и мешает многим