IsDebuggerPresent() and ring0

Добрый вечер всем!

Есть ли что-то альтернативное IsDebuggerPresent'у в ring0, не обязательно API, чем можно определить наличие отладчиков: OllyDbg, WinDbg, Syser.

На счет Soft-Ice знаю что можно считать символьные ссылки, а вот об представленных выше мало чего знаю.

 

Чуть поискал и нашел

Антиотладочные трюки
http://wasm.ru/forum/viewtopic.php?id=26840

 

+ WinDbg в режиме юзермодной отладки:
Наличие дебаг-порта у процесса, бит IsDebuggerPresent в PEB. - все как в юзермоде.

в режиме ядерной отладки - KdDebuggerEnabled, KdDebugger****

 

Спасибо подойдет

 

Появился еще вопрос

ntddk.h

Code (Text):

1.     //
2.     // TRUE if a kernel debugger is connected/enabled.
3.     //
4.  
5.     BOOLEAN KdDebuggerEnabled;

Кто ответственен за изменение KdDebuggerEnabled на TRUE/FALSE?

 

kd

 

KdDebuggerEnabled только kd обнаруживает?

 

изменение == обнаружение?

 

BOOLEAN KdDebuggerEnabled;

Как она взводится, я так понимаю должна быть функция которая обнаруживает отладчик и
устанавливает булеву KdDebuggerEnabled в true

 

Нет. должен быть отладчик, который устанавливает булеву в true