Нашёл : Нужно сделать SEH-обработчик, который будет указывать на код, чье выполнение начнется после исключения, которого можно добиться, например, попытавшись записать что-нибудь по адресу 00000000h .
Цитата из "Путеводитель по написанию под Win32" Billy Belcebu : Win32: Остановка отладчиков уровня приложения с помощью SEH Я еще не знаю почему, но отладчики уровня приложения падают, если программа просто использует SEH. Также как и кодоэмуляторы, если вызываются исключения . SEH, о котором я писал в DDT#1, используется для многих интересных вещей. Идите и прочитайте главу "Продвинутые Win32-техники", часть которой я посвятил SEH. Вам потребуется сделать SEH-обработчик, который будет указывать на код, чье выполнение начнется после исключения, которого можно добиться, например, попытавшись записать что-нибудь по адресу 00000000h . Хорошо, я надеюсь, что вы поняли это. Если нет... Гхрм, забудьте это . Также, как и методы, изложенные ранее, данный методы нельзя применить к SoftICE.
Вздор. Практически любая программа использует обработку исключений. Так что ж теперь программы нельзя в отладчике смотреть и выполнять?
Э-э, хотел привести ссылочку на свой опус по обнаружению и останову отладчика под 9x, а уважаемые модераторы уже успели все потереть ( Интересно почему пропали такие шедевры исследовательской мысли (темы "IsDebuggerPresent в 9x" и "IsDebuggerPresent по таблице импорта") ) Или все, что про мастдай, маст дай вместе с ним
"IsDebuggerPresent по таблице импорта" >интересно, таблица импорта както меняется при отладке? у, я нашёл что осталось, но это очевидно тока в 98
leo Я же поднимал этот вопрос — почистили базу недавно. Там много всего хорошего ушло. Так что повторюсь: используйте оффлайновую версию форума для поиска старых тем.
IceStudent Ясно. Жалко. И как теперь по старой привычке ты будешь народ к поиску по форуму отсылать ? (риторический) readme Да это только в 9х, и отладчик там можно подвесить капитально, занулив ссылочки на отладочные SEH'и (можно добраться в наглую по fs:[20h] или по тихому покопаться в стэке). А в NT просто так до отладчика не доберешься. Кое-кто знает, но секреты не раскрывает - просит терпеливо ждать 3-го пришествия упаковщиков ))
mov ecx, 0FFFFh f1: nop loop f1 ret И пусть взломщик часа два в обмимку с отладчиком будут исполнять эти инструкции
MegaZu Низ-зя! Нечестно! Ну не работал человек "в обнимку с отладчиком". Э-э-э-э... хотя, если под отладчиком понимать debug... )))))