NtQueryInfoProc with (infoClass == 1) anti-debug

Сейчас на форуме: rtsgreg1989, zds, _MBK_ (+5 невидимых)

Посл.ответ	Сообщение
SniperOK Ранг: 38.7 (посетитель) Активность: 0.02↘0 Статус: Участник	Создано: 30 декабря 2007 20:12 · Личное сообщение · #1 Интересная ситуация. Если вызвать NtQueryInformationProcess сначала с infoClass == 31, а затем с 1, то функция "вернет" DWORD, который будет равен нулю если процесс отлаживается, и единице, если нет. Я нашел несколько столь странных закономерностей. Если же сразу вызвать NtQuery с infoClass == 1, то он всегда будет равен нулю. Если же сменить последовательность вызовов, то можно получить единицу в случае отладки и нуль если не отлаживаем. Тестил на висте sp1 и ХР sp2, в сумме на трех машинах. Собственно вопрос. Кто сталкивался? Есть ли документация к аномалиям? Тестилка с последовательным вызовом с классами 7,30,31,35,37,1 в аттаче. a6cd_30.12.2007_CRACKLAB.rU.tgz - testapp.exe

Jupiter Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development	Создано: 30 декабря 2007 21:01 · Личное сообщение · #2 про MSVCR90.dll не упомянул - она обязательна для запуска. либо линкуй чтоб без рантайм либы. ----- EnJoy!
HiEndsoft Ранг: 237.0 (наставник), 20thx Активность: 0.13↘0 Статус: Участник sysenter	Создано: 30 декабря 2007 21:11 · Личное сообщение · #3 SniperOK выложи если не трудно (9.0 версии): msvcrt.lib и msvcrt90.dll, пригодится. ----- продавец резиновых утёнков
SniperOK Ранг: 38.7 (посетитель) Активность: 0.02↘0 Статус: Участник	Создано: 30 декабря 2007 21:53 · Личное сообщение · #4 Извиняюсь, забылся. www.microsoft.com/downloads/details.aspx?FamilyID=9b2da534-3e03-4391-8a4d-074b9f2bc1bf&DisplayLang=en The Microsoft Visual C++ 2008 Redistributable Package (x86)... (1.7МБ) И msvcrt.lib + msvcr90.dll в аттаче f522_30.12.2007_CRACKLAB.rU.tgz - lib.rar
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 30 декабря 2007 23:11 · Поправил: Hellspawn · Личное сообщение · #5 Приложение не было запущено, поскольку оно некорректно настроено. Повторная установка приложения может решить данную проблему. ыыы) откомпиль нормально ----- [nice coder and reverser]
HiEndsoft Ранг: 237.0 (наставник), 20thx Активность: 0.13↘0 Статус: Участник sysenter	Создано: 30 декабря 2007 23:22 · Личное сообщение · #6 Без отладчика пишет везде false; Под W32DSM: true; false;true;false; tru;tru;tru;tru Под олькой заточенной под ExeCryptor: false; false;true;false; false;tru;tru;tru Интересно... ----- продавец резиновых утёнков
SniperOK Ранг: 38.7 (посетитель) Активность: 0.02↘0 Статус: Участник	Создано: 31 декабря 2007 13:42 · Личное сообщение · #7 Между прочим сама программка не важна. Куда интереснее почему так происходит ea80_31.12.2007_CRACKLAB.rU.tgz - testapp.exe
HiEndsoft Ранг: 237.0 (наставник), 20thx Активность: 0.13↘0 Статус: Участник sysenter	Создано: 01 января 2008 15:15 · Личное сообщение · #8 SniperOKТы бы исходник выложил для простоты экспериментов, а то Новый годъ, руки трясутся.. (и еще плз выложи link.exe если не в лом из 9.0). ----- продавец резиновых утёнков
SniperOK Ранг: 38.7 (посетитель) Активность: 0.02↘0 Статус: Участник	Создано: 01 января 2008 16:42 · Личное сообщение · #9 Держи.. 88ff_01.01.2008_CRACKLAB.rU.tgz - link9&src.rar

Для печати