кстати, как обозвать новую опцию? защита от PEB checks tricks или может кто предложит название получше или исправит мой вариант
Спасибо всем.
subj что-то я торможу за что зацепится, какие API использовать, а под рукой нет даже справки по API
В плагине можно без проблем, вот только процесс потом идет сразу на выход, т.е. нормальная процедура загрузки файла в OllyDbg срывается, но...
leo Проверил на Olly, метод работает, причем убивает всех зайцев сразу, заодно удалось избавиться от еще одного метода определения...
кстати, а проверить мы можем что именно загрузилось по первому LOAD_DLL_DEBUG_EVENT ? Я что-то не соображу, а под рукой даже нет справки по...
нельзя leo как появится время попробую проверить на OllyDbg
Stonebearer http://www.wasm.ru/article.php?article=dznotes
Могу, тогда и махинация с OUTPUT_DEBUG_STRING_EVENT не нужна именно, а хотелось убить сразу всех зайцев
дык проблема то как раз обуздать метод [Peb.ProcessHeap+10h], с Peb.NtGlobalFlag проблем уже нет, его можно обнулять при первом...
не работает
Я же говорю, поставь XP и будешь удивлен, например тем что база PEB будет располагаться по разным адресам с каждой перезагрузкой, поэтому...
У меня есть свой isdebug.exe :-) [img] _768830307__Tls.exe
bogrus Гы, если Peb.BeingDebugged сброшен дебажная строка не приходит ;-) нельзя использовать фиксированные значения! bogrus...
Проделал в точности все описанное в OllyDbg. Что-то у меня ничего не получилось, может сброшенный флаг Peb.BeingDebugged помешал?
bogrus Я не обратил внимание что вставил при первом LOAD_DLL_DEBUG_EVENT кроме процедуры обнуления Peb.NtGlobalFlag еще и процедуру...
дык существующие TV выходы как раз работают по низкой частоте, т.е. сигнал нужно подавать на НЧ вход телевизора
типа так для [Peb.ProcessHeap+10h], нужно без фиксированных адресов естественно: .......................... assume eax:ptr t_thread...
bogrus есть сомнение что нормально, мне пришло письмо "отбойник" о невозможности доставить письмо, ответа от тебя не получал, он был?...
Нет, не смотрел, пробовал на DBEvent.dwDebugEventCode == CREATE_PROCESS_DEBUG_EVENT сбрасывать но там действительно в этот момент что-то не...
Имена участников (разделяйте запятой).
