Написал простую дллку.

case DLL_PROCESS_ATTACH:
{
TCHAR szPath[MAX_PATH];


if( !GetModuleFileName( NULL, szPath, MAX_PATH ) )
{
return FALSE;
}
char c[256]={0};
_splitpath(szPath,NULL,NULL,c,NULL);
if(strcmpi(c,"notepad")!=0)
{
MessageBox(0,"Debug",0,0);
}
return true;
}


Ну естественно что никто не ругается но:
PEiD..: Armadillo v1.xx - v2.xx

LINK (http://www.virustotal.com/analisis/0186940370bf08ba6e1495dd0b3498c9)

а попробуй еще разок, только смени что-то, что бы контрольные сумы не совпали, открой,закрой скобочки операторные на пример.
ЗЫ
опыт, который показал успех - нужно повторить, только после этого исследовать корень, ось и полуось багов и возможности использования оных.

Использовать это не получится. Это ж просто "инфо", ну разве что кто то из AV-ов опирается на это "инфо" при поытке распаковки :-)

Проверил снова: LINK (http://www.virustotal.com/ru/analisis/294b87ceafec7f22f67108eac4b2d8e8) Резалт тот же.

Пустая ДЛЛ-ка с MessageBox - PEiD..: Armadillo v1.xx - v2.xx

Он наверное на VC6++ так реагирует. У кого другой компилер есть - проверьте плиз :-)

и что? толку никакова.

ну, пока - точно никакого, а вот если бы ты знал причину.

ну, пока - точно никакого, а вот если бы ты знал причину.
PEiD нашол сигнатуру Armadillo.

Перепробовал все возможные пеид которые у меня есть - все говорят VC6++
Толи они спецом пишут фейк, толи у них поглючила бд сигнатур ПеИд-а
Я сказал что юзать это не получится никак - просто баг и все.

да ну какой им прикол фэйк писать. юзают не дефолтные сигны вот и всё.
пс: а вот найти какоенить переполнение в софте которое они юзают было бы весело, типа вон в пеиде же было как то.

В аверах постоянно на баграках баги находят. Надо брать. кодить сплоенты и пробовать его завалить - думаю онн многим помогает но и мешает многим :-)