Niewidzialny breakpoint

Ciekawostko—zagadka dla czytelników. Dlaczego następuje skok?

Podpowiedź — caption.

Komentarze (6)

finamo

Bo kolejny plugin do olka cos pierd…. 🙂 A na serio, nie uzywalem phantoma, ale stawiam ze to jakies ukrywanie bp

Odpowiedz
hyhyhy

to nie wina plagina; masz software bp (0xCC) na MessageBoxA; olek zawsze pokazuje falszywa zawartosc spaczowanej przez siebie pamieci, ale nie potrafi oszukac instrukcji, ktore sie do tej pamieci odwoluja

Odpowiedz
bartek

Prawda jak zwykle leży pośrodku – po aktywacji plugina phant0m ten po cichaczu wrzuca breakpointy na cala rodzinke MessageBox/Ex/A/W oraz inne api (GMER to ladnie pokazuje).

Odpowiedz
hyhyhy

hmmm luknalem szybko na phantoma 1.20 i 1.54 nie widze nic co by wstawialo breakpointy na te APIsy; po odpaleniu w czystym olku (tylko olek i phantom), wlaczeniu wszystkich opcji phantoma, restarcie, i zaladowaniu i uruchomieniu procesu nie widac w gmerze zadnych patchow na tych apisach (tj. MessageBox/Ex/A/W); widac sporo patchow w kernelu (extrem.sys i rdtsc.sys), ukryty proces olka, oraz phantomowe patche na antiantidebuggach w userlandzie (ntcontinue, blockinput, gettickcount,kiuserexceptionpatcher,itd.);

nie miales jakichs starych bp na tych APIsach zapisanych w udd?

Odpowiedz
bartek

Nie dało mi to spać, faktycznie był plik .UDD zrobiony i mimo, że breakpointy były usunięte, to każdorazowe włączenie phant0m-a powodowało, że breakpointy na nowo pojawiały się na liście za każdym razem, dzięki panie hyhyhy za sugestie.

Odpowiedz
Krzywy

Też się z czymś takim spotkałem. Możliwe, że masz hw bp ustawione których nie widać podczas debugowania kodu. Albo jakiś inny plugin typu RL!APIFinder który również wstawia niewidzialne bp na api. Dobre na antidebugi 😀

Odpowiedz

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *