Contournement des anti-debugs

Note de ce sujet :

Moyenne : 0 (0 vote(s))
1
2
3
4
5

Affichage linéaire

Contournement des anti-debugs

05-06-2013, 08h43

Message : #6

0pc0deFR
Non-enregistré

RE: Contournement des anti-debugs

(04-06-2013, 20h34)InstinctHack a écrit : @qtkt je pense (je suis pas sûr) que tu fait une inversion de saut, ce qui signifie que tu inverse le comportement du programme à cet endroit, donc si la condition est valide au départ, elle ne l'est plus, ce qui est rarement souhaitable dans les faits.

C'est tout à fait ça. C'est une inversion de condition. A savoir qu'un malware ou un outil qui va être reverse et qui possède cette fonction va souvent se terminer si la fonction IsDebuggerPresent se valide. En inversant le comportement le programme ne se termine pas. Les conséquences sont assez limitées. Il faut vérifier le comportement du programme après la fonction et juger par soi même.

Il y a des manières plus jolies pour contourner ça. Le hook par exemple avec un script Olly pour faire en sorte que la fonction renvoie toujours 0. Pour le coup, j'ai préféré présenter une technique simple qui fonctionne avec tous les outils de debug.

(0)

(0) Répondre

« Sujet précédent | Sujet suivant »

Messages dans ce sujet

Contournement des anti-debugs - par 0pc0deFR - 31-05-2013, 21h05

RE: Contournement des anti-debugs - par Horgh - 04-06-2013, 20h16

RE: Contournement des anti-debugs - par qtkt - 04-06-2013, 20h19

RE: Contournement des anti-debugs - par InstinctHack - 04-06-2013, 20h34

RE: Contournement des anti-debugs - par 0pc0deFR - 05-06-2013, 08h43

RE: Contournement des anti-debugs - par fr0g - 04-06-2013, 20h36

RE: Contournement des anti-debugs - par supersnail - 05-06-2013, 21h23

RE: Contournement des anti-debugs - par 0pc0deFR - 05-06-2013, 23h40

Voir une version imprimable

Atteindre :

Utilisateur(s) parcourant ce sujet : 1 visiteur(s)

Identifiant Mot de passe
S’enregistrer \| Mot de passe oublié ? Se rappeler