все не так страшно. Там реализовано всего несколько проверок целостности кода приложения. Одна из них легко находится и так-же легко отрубается патчем. с (push какой то регистр ebp вроде) 0x55 на ret (0xC3) первую инструкцию меняешь и прерываешь выполнение функции в самом начале. Вторая - это сканирование виртуальной памяти. под VirtualQuery, ее тоже объебать не затруднительно, максимально тупо пропускать любую память указывающую на свой модуль.
А кроме этого, там чек навесили на контекст потоков для детектирования hardware брейкпоинтов, а чекают тупым GetThreadContext с проверкой регистра DR7 в структуре. Еще раньше была фитча, при обращении к важным функциям вроде работы с пакетниками, дергали каретку вызываемого кода))) если вне адресного пространства нужного списка - хуяк, и ты уже в сибири дрова косишь. Щас чето такого не наблюдаю)
По большей части они сосредоточены на аналитике данных на сервере. Многие думают что отложенный бан делают для того чтобы не понятно было что именно палится, на самом деле нихера подобного, просто у них сервера месяцами разбирают данные в огромной очереди.
