Comments on: Niewidzialny breakpoint http://www.secnews.pl/2010/02/17/niewidzialn-breakpoint/ Reverse engineering, ochrona oprogramowania. Fri, 03 Feb 2012 09:56:39 +0000 hourly 1 http://wordpress.org/?v=3.3.1 By: Krzywyhttp://www.secnews.pl/2010/02/17/niewidzialn-breakpoint/comment-page-1/#comment-14075 Krzywy Mon, 22 Feb 2010 10:29:21 +0000 http://www.secnews.pl/?p=602#comment-14075 Też się z czymś takim spotkałem. Możliwe, że masz hw bp ustawione których nie widać podczas debugowania kodu. Albo jakiś inny plugin typu RL!APIFinder który również wstawia niewidzialne bp na api. Dobre na antidebugi :D Też się z czymś takim spotkałem. Możliwe, że masz hw bp ustawione których nie widać podczas debugowania kodu. Albo jakiś inny plugin typu RL!APIFinder który również wstawia niewidzialne bp na api. Dobre na antidebugi :D

]]> By: bartekhttp://www.secnews.pl/2010/02/17/niewidzialn-breakpoint/comment-page-1/#comment-14050 bartek Sat, 20 Feb 2010 16:55:25 +0000 http://www.secnews.pl/?p=602#comment-14050 Nie dało mi to spać, faktycznie był plik .UDD zrobiony i mimo, że breakpointy były usunięte, to każdorazowe włączenie phant0m-a powodowało, że breakpointy na nowo pojawiały się na liście za każdym razem, dzięki panie hyhyhy za sugestie. Nie dało mi to spać, faktycznie był plik .UDD zrobiony i mimo, że breakpointy były usunięte, to każdorazowe włączenie phant0m-a powodowało, że breakpointy na nowo pojawiały się na liście za każdym razem, dzięki panie hyhyhy za sugestie.

]]> By: hyhyhyhttp://www.secnews.pl/2010/02/17/niewidzialn-breakpoint/comment-page-1/#comment-14037 hyhyhy Sat, 20 Feb 2010 00:37:36 +0000 http://www.secnews.pl/?p=602#comment-14037 hmmm luknalem szybko na phantoma 1.20 i 1.54 nie widze nic co by wstawialo breakpointy na te APIsy; po odpaleniu w czystym olku (tylko olek i phantom), wlaczeniu wszystkich opcji phantoma, restarcie, i zaladowaniu i uruchomieniu procesu nie widac w gmerze zadnych patchow na tych apisach (tj. MessageBox/Ex/A/W); widac sporo patchow w kernelu (extrem.sys i rdtsc.sys), ukryty proces olka, oraz phantomowe patche na antiantidebuggach w userlandzie (ntcontinue, blockinput, gettickcount,kiuserexceptionpatcher,itd.);nie miales jakichs starych bp na tych APIsach zapisanych w udd? hmmm luknalem szybko na phantoma 1.20 i 1.54 nie widze nic co by wstawialo breakpointy na te APIsy; po odpaleniu w czystym olku (tylko olek i phantom), wlaczeniu wszystkich opcji phantoma, restarcie, i zaladowaniu i uruchomieniu procesu nie widac w gmerze zadnych patchow na tych apisach (tj. MessageBox/Ex/A/W); widac sporo patchow w kernelu (extrem.sys i rdtsc.sys), ukryty proces olka, oraz phantomowe patche na antiantidebuggach w userlandzie (ntcontinue, blockinput, gettickcount,kiuserexceptionpatcher,itd.);

nie miales jakichs starych bp na tych APIsach zapisanych w udd?

]]> By: bartekhttp://www.secnews.pl/2010/02/17/niewidzialn-breakpoint/comment-page-1/#comment-13995 bartek Thu, 18 Feb 2010 11:14:49 +0000 http://www.secnews.pl/?p=602#comment-13995 Prawda jak zwykle leży pośrodku - po aktywacji plugina phant0m ten po cichaczu wrzuca breakpointy na cala rodzinke MessageBox/Ex/A/W oraz inne api (GMER to ladnie pokazuje). Prawda jak zwykle leży pośrodku – po aktywacji plugina phant0m ten po cichaczu wrzuca breakpointy na cala rodzinke MessageBox/Ex/A/W oraz inne api (GMER to ladnie pokazuje).

]]> By: hyhyhyhttp://www.secnews.pl/2010/02/17/niewidzialn-breakpoint/comment-page-1/#comment-13993 hyhyhy Thu, 18 Feb 2010 10:37:21 +0000 http://www.secnews.pl/?p=602#comment-13993 to nie wina plagina; masz software bp (0xCC) na MessageBoxA; olek zawsze pokazuje falszywa zawartosc spaczowanej przez siebie pamieci, ale nie potrafi oszukac instrukcji, ktore sie do tej pamieci odwoluja to nie wina plagina; masz software bp (0xCC) na MessageBoxA; olek zawsze pokazuje falszywa zawartosc spaczowanej przez siebie pamieci, ale nie potrafi oszukac instrukcji, ktore sie do tej pamieci odwoluja

]]> By: finamohttp://www.secnews.pl/2010/02/17/niewidzialn-breakpoint/comment-page-1/#comment-13981 finamo Wed, 17 Feb 2010 21:02:43 +0000 http://www.secnews.pl/?p=602#comment-13981 Bo kolejny plugin do olka cos pierd.... :) A na serio, nie uzywalem phantoma, ale stawiam ze to jakies ukrywanie bp Bo kolejny plugin do olka cos pierd…. :) A na serio, nie uzywalem phantoma, ale stawiam ze to jakies ukrywanie bp

]]>