Нужна помощь для обхода самоотладки используя OLLY. Это когда появляется новый дочерный процесс и спользуется ф-ция WaitForDebugEvent. Один из способов обойти это поставить bp на kernel32@WaitForDebugEvent() , а потом вызвать DebugActiveProcessStop указав PID левого процесса. ---- 1). Дело в том что я не умею это делать технически. К примеру с помощью attach у ме ня olly не присоединяется к процессу. Думаете можно это слелать с помощью скрипта ? Подскажите как можно подробнее кто-что знает. ----- 2). Еще есть способ обнулить поле DebugPort структуры EPROCESS из режима ядра. syser debugger подойдет для этого ? если да, то как мне найти структуру EPROCESS в памяти, и даже если я найду и обнулю ее, то я смогу дальше в OLLY продолжить отладку ?
В случае антиотладки отключение отладчика(сброс DebugObject) приведёт к краху, если это самоотладка. Два процесса выполняют обмен данными через отладочные механизмы. В простейшем случае зависнет. Вобщем трудно сказать.
Если кто-нибудь знает где и как найти структуру EPROCESS например в Syser Debugger подскажите. Так то понятно что это за структура но вот как ее в памяти найти...
