Как определить, что какой-то поток в моей программе скрыт через ThreadHideFromDebugger? Как убрать это скрытие?

| Сообщение посчитали полезным:

Если пройти по ссылке
http://waleedassar.blogspot.ru/2012/11/hidding-threads-from-debuggers.html

То выясняется что:
1) In this post i will take into discussion an old anti-debug trick that many of us know well. (Способ знают почти все)
2) i have created a small OllyDbg v1.10 plugin to detect any hidden thread in the process being debugged esp. (он написал плагин для этого (ссылка внутри))

Написано не сложно, читается. От и до разобрал как включается и выключается.

| Сообщение посчитали полезным: jeep

Там сказано, что в xp ZwQueryInformationThread не допускает к биту "HideFromDebugger". Значит в xp никак?

| Сообщение посчитали полезным:

jeep

Нет инфокласса для запроса. Хотя допускаю что можно левыми путями инфу получить, так как поведение потока меняется. Вопрос накой это нужно ваще, если можно порт полностью отключить от процесса(NtRemoveProcessDebug).

| Сообщение посчитали полезным:

Dr0p
Мне интересно как obsidium 1.5 палит не скрытые треды. Стоит запретить скрытие и появляется детект. Причем если на время проверок отцепить отладчик, а после снова прицепить - детекта нет.
кстати, obsidium твой side палит даже без отладчика

| Сообщение посчитали полезным:

jeep

Не палило ничего:



Там надо опции наверно менять, хз.

| Сообщение посчитали полезным:

Если автор тулзы говорит "хз", то тулзу наверно пора в помойку. Вместе с автором

| Сообщение посчитали полезным:

spinz

Автор не помнит подходящую конфигурацию. Быть может ничего и менять не нужно. Давно тестилось.

| Сообщение посчитали полезным: