safedisc 3

Discussion in 'WASM.RESEARCH' started by rddvl, Oct 21, 2004.

  1. Asterix

    Asterix New Member

    Blog Posts:
    0
    volodya

    Наброски давай :)



    Вобщем что-то меня проглючило до этого, протормозил конкретно %),

    нашёл я способ сделать всё корректно, а главное нужные функции для этого уже содержаться в коде HideDebugger'а.

    Одна проблемка осталась, как назвать фичу?

    Может "Protection against SetUnhandledExceptionFilter"? :derisive:



    Варианты?
     
  2. Mario555

    Mario555 New Member

    Blog Posts:
    0
    Asterix

    > нашёл я способ сделать всё корректно

    > Одна проблемка осталась, как назвать фичу?

    смотря что ты в итоге решил сделать... "Protection against SetUnhandledExceptionFilter" - это если патч только UnhandledExceptionFilter, а лучше всётаки патчить вызов ZwQueryInformationProcess, т.к. в этом случае, как я уже говорил выше получится защита и от CheckRemoteDebuggerPresent (всё-таки оно IMHO актуально, пусть будет ;) ). Тогда наверно какое-нить "Protection against DebugPort check" =)
     
  3. Asterix

    Asterix New Member

    Blog Posts:
    0
    > Тогда наверно какое-нить "Protection against DebugPort check" =)



    Это слишком прямолинейно, я решил законспирироваться, также как с Protection against TerminateProcess :derisive:

    кстати эту защиту тоже придётся переделать, т.к. теперь я знаю как сделать лучше.
     
  4. Mario555

    Mario555 New Member

    Blog Posts:
    0
    операция "Ы" ;)
     
  5. bogrus

    bogrus Active Member

    Blog Posts:
    0
    Asterix Может добавишь в HideDebugger защиту от PostMessage(FindWindow("OllyDbg")WM_QUIT) ? :)

    Просто убрать "OllyDbg" из заголовка окна.
     
  6. Asterix

    Asterix New Member

    Blog Posts:
    0
    bogrus

    Не, ну ты как с луны :derisive:))



    Там есть эта защита(версия 1.2), как раз скрывает заголовок главного окна Olly.

    Но FindWindow ведь ещё может искать по классу окна, вот этой защиты пока нет, пока предлагаю найти класс окна в exe'шнике OllyDbg и пропатчить его в HiEW, там типа класс окна OLLYDBG я у себя поменял на 011YDBG =)
     
  7. bogrus

    bogrus Active Member

    Blog Posts:
    0
    Тьфу я, и куда я смотрел, звиняйте за оффтоп
     
  8. Av0id

    Av0id New Member

    Blog Posts:
    0
    для SetUnhandledExceptionFilter есть плугин к Olly