Всю жизнь пользовался Olly, но сейчас надо юзать IDA. Мучаюсь уже какой день. Есть прога, которая точно вызывает IsDebuggerPresent функцию из kernel32.dll. Загружаю прогу в IDA. Смотрю в Imports - там есть этот вызов. Кликаю 2 раза и перехожу не следущий прототип: Как можно догадаться, это не то, что меня инетересует, а интересует меня тело самой функции IsDebuggerPresent из библиотеки kernel32.dll. А IDA показывает только этот "прототип" из секции .idata. Тоже самое со списком Names: двойной клик и этот прототип. Пробывал через g (Menu - Jump - Jump to Address): kernel32_IsDebuggerPresent. Пишет, что адрес не найден :-( Спасибо за внимание.
ты б еще в каком-нибудь вордовском документе искал кернел скажу честно, не знаю, можно ли подгрузить к твоему файлу еще и системные библиотеки, но ты можешь отдельно открыть кернел своей идой
AlannY Если запустите процесс под отладкой (последние IDA имеют встроенный отладчик). То кернел подгрузится и все увидите. add: либо грузите помимо вашего приложения еще и kernel32.dll. И анализируйте его код.
Ну так перейди на нужное место в отладчике иды. Или отдельно загрузи kernel и легко найдёшь эту функцию.
AlannY IsDebuggerPresent() ацкая функция, так же как и например GetCurrentProcessId(). Сводитсо к чтению поля PEB.BeingDebugged.
