Есть ли способ проверить валидность хэндла в user mode?

subj

 

Вызвать DuplicateHandle(), передав параметром этот хэндл, и проверить возвращаемое значение на STATUS_INVALID_HANDLE.

 

хорошая идея, спасибо

 

GetHandleInformation (на NT+)

 

green

это даже покороче будет, меньше параметров у функции
спасибо

 

Asterix
Да и правильнее

 

В ntdll.dll есть функция RtlIsValidHandle, должна помочь. Можно поискать нечто похожее в kernel32.dll.

 

dr_dred
Для неё нужна PRTL_HANDLE_TABLE.

 

[offtopic]
предполагаю, что идёт доработка плагина HideDebugger для скрытия ольки от invalidhandlevalue?
[/offtopic]

 

IceStudent
Прошу прощения, написал не проверив.

 

Кстати, почему-то Олли не игнорирует исключение, когда задаёшь ей в список игноров C0000008 Спасает только OllyAdvanced.

 

IceStudent

В том то и дело, что игнорирует - исключение остается необработанным и передается программе, а в отсутствие отладчика исключение при CloseHandle вообще не возникает

 

А, если игнорировать, то отладчик-то всё равно присутствует и система знает об этом. Понятно.

 

IceStudent

OllyAdvanced просто обрабатывает С0000008, не делая останова на исключении . Это "спасает" от исключений на инвалидных CloseHandle и т.п., но зато приводит к неверной обработке явных RaiseException. Поэтому на полноценный HideDebugger эта фича не тянет, т.к. заменяет один баг на другой По идее в обработчик исключения нужно еще добавить анализ адреса, чтобы отделить явные RaiseException от навязчивых виндовых автоисключений

PS: хотя все эти фишки не спасают от обнаружения отладчика по rdtsc - обрабатывай, не обрабатывай исключение, а время выполнения инвалидного CloseHandle в любом случае под отладчиком получается в тысячи раз больше, чем без него

 

винда не должна генерить исключение через RaiseException с параметром 0xС0000008 при отсутствии отладчика

 

Asterix
Почему это ???
ХРюша генерит. В msdn вроде тоже никаких ограничений нет (да и выглядели бы они ИМХО странно-недемократично

 

leo
я забыл, это при invalid handle она не кидает RaiseException с параметром 0xС0000008
если нет отладчика

 

А кто его перехватывает?

 

IceStudent

Не понял ?!
Поясняю о чем речь. При инвалидных операциях с хэндлами винда генерит исключение при наличии отладчика, и не генерит если отладчика нет. Но при явном вызове RaiseException(0C0000008h,...) исключение генерится в любом случае. Поэтому простейшая защита первым делом вызывает RaiseException(0C0000008h,...) - если исключения не было (т.е. управление не было передано в SEH-обработчик) значит сама Оля или OllyАdvanced его обработали -> прога под колпаком\каблуком и дальше проверять нечего Если исключение было, то проверяем реакцию на CloseHandle(0DEADBEEFh и т.п.)
Поэтому баг Оли в том, что она просто игнорирует все INVALID_HANDLE (выдает DBG_EXCEPTION_NOT_HANDLED), а баг OllyAdvanced в том, что он (плагин) их все без разбору обрабатывет (выдает DBG_CONTINUE). А по идее нужно по крайней мере проанализировать адрес исключения - если адрес принадлежит функции ntdll.KiRaiseUserExceptionDispatcher, значит это был автовызов из недр винды (или хитрая защита , иначе это явный вызов из проги

 

leo

Теперь разобрался.