Rabid Rabbit, кому как не тебе знать 4то на а4ате не все так просто? и этот вопрос обсуждался уже не раз, и не только на самом форуме (с егоры4ем, в том 4исле) вообще, надесю 4то в следующем сезоне этот вопрос можно будет обсуждать с новой силой, с приходом новых потенциальных заполнителей\\модеров раздела...
Было бы здорово только сайт и форум узконаправленной тематики Вот собственно вопрос.Есть функция IsDebugPresent mov eax,[fs:18h] mov eax,[eax 30h] movzx eax, byte ptr [eax 2] ret НОПить функцию не надо.Как изменить структуру PEB ?
>>Было бы здорово только сайт и форум узконаправленной тематики да, но низвоуровневое программирование и реверсинг от сетевой безопасноти неотделимы >>НОПить функцию не надо.Как изменить структуру PEB ? я так думаю, 4то менять всю структуру тебе не нужно, а только пропат4ить флаг отладки для заданого процесса? если я правильно понял, то: самый простой способ - юзать HideDebugger плагин для ольки но путем дизасминга плагина, либо поиска сабжевой инфы в гугле можно обнаружить, 4то mov eax,[eax 30h] // загружаем адресс PEB movzx eax, byte ptr [eax 2] // загружаем тетьий байт из нее (флаг BeingDebugged) таким образом, 4тобы пропат4ить, нужно просто при загрузке в отлад4ик обнулить флаг BeingDebugged
и еще, вот немного интересной инфы по сабжу: http://teamx.fatal.ru/ http://www.exploit.in/forum/index.php?showtopic=2734
