to nie wina plagina; masz software bp (0xCC) na MessageBoxA; olek zawsze pokazuje falszywa zawartosc spaczowanej przez siebie pamieci, ale nie potrafi oszukac instrukcji, ktore sie do tej pamieci odwoluja
Prawda jak zwykle leży pośrodku – po aktywacji plugina phant0m ten po cichaczu wrzuca breakpointy na cala rodzinke MessageBox/Ex/A/W oraz inne api (GMER to ladnie pokazuje).
hmmm luknalem szybko na phantoma 1.20 i 1.54 nie widze nic co by wstawialo breakpointy na te APIsy; po odpaleniu w czystym olku (tylko olek i phantom), wlaczeniu wszystkich opcji phantoma, restarcie, i zaladowaniu i uruchomieniu procesu nie widac w gmerze zadnych patchow na tych apisach (tj. MessageBox/Ex/A/W); widac sporo patchow w kernelu (extrem.sys i rdtsc.sys), ukryty proces olka, oraz phantomowe patche na antiantidebuggach w userlandzie (ntcontinue, blockinput, gettickcount,kiuserexceptionpatcher,itd.);
nie miales jakichs starych bp na tych APIsach zapisanych w udd?
Nie dało mi to spać, faktycznie był plik .UDD zrobiony i mimo, że breakpointy były usunięte, to każdorazowe włączenie phant0m-a powodowało, że breakpointy na nowo pojawiały się na liście za każdym razem, dzięki panie hyhyhy za sugestie.
Też się z czymś takim spotkałem. Możliwe, że masz hw bp ustawione których nie widać podczas debugowania kodu. Albo jakiś inny plugin typu RL!APIFinder który również wstawia niewidzialne bp na api. Dobre na antidebugi
Luty 17th, 2010 at 11:02 pm
Bo kolejny plugin do olka cos pierd….
A na serio, nie uzywalem phantoma, ale stawiam ze to jakies ukrywanie bp
Luty 18th, 2010 at 12:37 pm
to nie wina plagina; masz software bp (0xCC) na MessageBoxA; olek zawsze pokazuje falszywa zawartosc spaczowanej przez siebie pamieci, ale nie potrafi oszukac instrukcji, ktore sie do tej pamieci odwoluja
Luty 18th, 2010 at 1:14 pm
Prawda jak zwykle leży pośrodku – po aktywacji plugina phant0m ten po cichaczu wrzuca breakpointy na cala rodzinke MessageBox/Ex/A/W oraz inne api (GMER to ladnie pokazuje).
Luty 20th, 2010 at 2:37 am
hmmm luknalem szybko na phantoma 1.20 i 1.54 nie widze nic co by wstawialo breakpointy na te APIsy; po odpaleniu w czystym olku (tylko olek i phantom), wlaczeniu wszystkich opcji phantoma, restarcie, i zaladowaniu i uruchomieniu procesu nie widac w gmerze zadnych patchow na tych apisach (tj. MessageBox/Ex/A/W); widac sporo patchow w kernelu (extrem.sys i rdtsc.sys), ukryty proces olka, oraz phantomowe patche na antiantidebuggach w userlandzie (ntcontinue, blockinput, gettickcount,kiuserexceptionpatcher,itd.);
nie miales jakichs starych bp na tych APIsach zapisanych w udd?
Luty 20th, 2010 at 6:55 pm
Nie dało mi to spać, faktycznie był plik .UDD zrobiony i mimo, że breakpointy były usunięte, to każdorazowe włączenie phant0m-a powodowało, że breakpointy na nowo pojawiały się na liście za każdym razem, dzięki panie hyhyhy za sugestie.
Luty 22nd, 2010 at 12:29 pm
Też się z czymś takim spotkałem. Możliwe, że masz hw bp ustawione których nie widać podczas debugowania kodu. Albo jakiś inny plugin typu RL!APIFinder który również wstawia niewidzialne bp na api. Dobre na antidebugi