safedisc 3

Discussion in 'WASM.RESEARCH' started by rddvl, Oct 21, 2004.

  1. Asterix

    Asterix New Member

    Blog Posts:
    0
    Joined:
    Feb 25, 2003
    Messages:
    3,576
    volodya

    Наброски давай :)



    Вобщем что-то меня проглючило до этого, протормозил конкретно %),

    нашёл я способ сделать всё корректно, а главное нужные функции для этого уже содержаться в коде HideDebugger'а.

    Одна проблемка осталась, как назвать фичу?

    Может "Protection against SetUnhandledExceptionFilter"? :derisive:



    Варианты?
     
  2. Mario555

    Mario555 New Member

    Blog Posts:
    0
    Joined:
    Jul 9, 2004
    Messages:
    21
    Asterix

    > нашёл я способ сделать всё корректно

    > Одна проблемка осталась, как назвать фичу?

    смотря что ты в итоге решил сделать... "Protection against SetUnhandledExceptionFilter" - это если патч только UnhandledExceptionFilter, а лучше всётаки патчить вызов ZwQueryInformationProcess, т.к. в этом случае, как я уже говорил выше получится защита и от CheckRemoteDebuggerPresent (всё-таки оно IMHO актуально, пусть будет ;) ). Тогда наверно какое-нить "Protection against DebugPort check" =)
     
  3. Asterix

    Asterix New Member

    Blog Posts:
    0
    Joined:
    Feb 25, 2003
    Messages:
    3,576
    > Тогда наверно какое-нить "Protection against DebugPort check" =)



    Это слишком прямолинейно, я решил законспирироваться, также как с Protection against TerminateProcess :derisive:

    кстати эту защиту тоже придётся переделать, т.к. теперь я знаю как сделать лучше.
     
  4. Mario555

    Mario555 New Member

    Blog Posts:
    0
    Joined:
    Jul 9, 2004
    Messages:
    21
    операция "Ы" ;)
     
  5. bogrus

    bogrus Active Member

    Blog Posts:
    0
    Joined:
    Oct 24, 2003
    Messages:
    1,338
    Location:
    ukraine
    Asterix Может добавишь в HideDebugger защиту от PostMessage(FindWindow("OllyDbg")WM_QUIT) ? :)

    Просто убрать "OllyDbg" из заголовка окна.
     
  6. Asterix

    Asterix New Member

    Blog Posts:
    0
    Joined:
    Feb 25, 2003
    Messages:
    3,576
    bogrus

    Не, ну ты как с луны :derisive:))



    Там есть эта защита(версия 1.2), как раз скрывает заголовок главного окна Olly.

    Но FindWindow ведь ещё может искать по классу окна, вот этой защиты пока нет, пока предлагаю найти класс окна в exe'шнике OllyDbg и пропатчить его в HiEW, там типа класс окна OLLYDBG я у себя поменял на 011YDBG =)
     
  7. bogrus

    bogrus Active Member

    Blog Posts:
    0
    Joined:
    Oct 24, 2003
    Messages:
    1,338
    Location:
    ukraine
    Тьфу я, и куда я смотрел, звиняйте за оффтоп
     
  8. Av0id

    Av0id New Member

    Blog Posts:
    0
    Joined:
    Oct 21, 2004
    Messages:
    87
    для SetUnhandledExceptionFilter есть плугин к Olly