Затираем следы в PEB - eXeL@B

Сейчас на форуме: tyns777, zombi-vadim (+5 невидимых)

<< . 1 . 2 .

Посл.ответ	Сообщение
daFix Ранг: 529.0 (!), 110thx Активность: 0.29↘0.04 Статус: Участник 5KRT	Создано: 31 июля 2010 14:19 · Поправил: daFix · Личное сообщение · #1 Состряпал такой не хитрый код, который должен избавить нас от IsDebuggerPresent: Code: DWORD offset; offset = ThreadLocalBase + 0x18; ReadProcessMemory(pi.hProcess, (void)offset, &offset,sizeof(offset),0); offset+=0x30; ReadProcessMemory(pi.hProcess, (void)offset, &offset,sizeof(offset),0); offset+=0x2; WriteProcessMemory(pi.hProcess, (void*)offset, "0", 1,0); Пробовал запускать на болванке, но палимся, не могу понять где ошибся. ThreadLocalBase получаю из события CREATE_PROCESS_DEBUG_EVENT: Code: ThreadLocalBase = (long)DebugEvent.u.CreateProcessInfo.lpThreadLocalBase; ----- Research For Food

DenCoder Ранг: 324.3 (мудрец), 222thx Активность: 0.48↘0.37 Статус: Участник	Создано: 15 мая 2015 21:18 · Поправил: DenCoder · Личное сообщение · #2 Поднимаю старую тему, но есть причина этому: пост - кандидат на замечания по поводу NtRemoveProcessDebug! ( Да не воззвать бы сюда обратно духа ядра WinXP x86 в новой реинкарнации ) Дело в том, что обнулив DebugObjectHandle этой функцией (не путать с DebugPort, хоть они и связаны...), бряки, если ещё остались после этого и возникло по ним одно из отладочных исключений, вызовут окно с ошибкой, в подробностях будет 0x80000003(STATUS_BREAKPOINT) или 0x80000004(STATUS_SINGLE_STEP), если программа не знает как их эти ситуации обрабатывать! И придётся придумывать какой-то другой способ передачи сэпшенов отладчику... Или я не во всём прав, потому что что-то упустил? Кстати, OllyDbg виснет сразу после такого обнуления. Добавлено спустя 4 часа Сорри! Америку не открыл, упустил из виду посты ARCHANGEL'а... ----- IZ.RU

<< . 1 . 2 .

Для печати

Для печати