ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Rabid Rabbit, кому как не тебе знать 4то на а4ате не все так просто?
и этот вопрос обсуждался уже не раз, и не только на самом форуме (с егоры4ем, в том 4исле)

вообще, надесю 4то в следующем сезоне этот вопрос можно будет обсуждать с новой силой, с приходом новых потенциальных заполнителей\\модеров раздела...

Неплохо =)

Было бы здорово только сайт и форум узконаправленной тематики

Вот собственно вопрос.Есть функция IsDebugPresent

mov eax,[fs:18h]
mov eax,[eax 30h]
movzx eax, byte ptr [eax 2]
ret

НОПить функцию не надо.Как изменить структуру PEB ?

>>Было бы здорово только сайт и форум узконаправленной тематики
да, но низвоуровневое программирование и реверсинг от сетевой безопасноти неотделимы

>>НОПить функцию не надо.Как изменить структуру PEB ?

я так думаю, 4то менять всю структуру тебе не нужно, а только пропат4ить флаг отладки для заданого процесса? если я правильно понял, то:

самый простой способ - юзать HideDebugger плагин для ольки

но путем дизасминга плагина, либо поиска сабжевой инфы в гугле можно обнаружить, 4то
mov eax,[eax 30h] // загружаем адресс PEB
movzx eax, byte ptr [eax 2] // загружаем тетьий байт из нее (флаг BeingDebugged)

таким образом, 4тобы пропат4ить, нужно просто при загрузке в отлад4ик обнулить флаг BeingDebugged

и еще, вот немного интересной инфы по сабжу:
http://teamx.fatal.ru/
http://www.exploit.in/forum/index.php?showtopic=2734