eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 июля!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: SaNX, CDK1234 (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› ThreadHideFromDebugger
Посл.ответ Сообщение

Ранг: 4.0 (гость)
Статус: Участник

Создано: 20 мая 2014 16:40 New!
Цитата · Личное сообщение · #1

Как определить, что какой-то поток в моей программе скрыт через ThreadHideFromDebugger? Как убрать это скрытие?

Ранг: 46.8 (посетитель)
Статус: Участник

Создано: 20 мая 2014 17:11 New!
Цитата · Личное сообщение · #2

Если пройти по ссылке
http://waleedassar.blogspot.ru/2012/11/hidding-threads-from-debuggers.html

То выясняется что:
1) In this post i will take into discussion an old anti-debug trick that many of us know well. (Способ знают почти все)
2) i have created a small OllyDbg v1.10 plugin to detect any hidden thread in the process being debugged esp. (он написал плагин для этого (ссылка внутри))

Написано не сложно, читается. От и до разобрал как включается и выключается.

| Сообщение посчитали полезным: jeep


Ранг: 4.0 (гость)
Статус: Участник

Создано: 20 мая 2014 18:29 New!
Цитата · Личное сообщение · #3

Там сказано, что в xp ZwQueryInformationThread не допускает к биту "HideFromDebugger". Значит в xp никак?


Ранг: 72.2 (постоянный)
Статус: Участник

Создано: 20 мая 2014 21:40 · Поправил: Dr0p New!
Цитата · Личное сообщение · #4

jeep

Нет инфокласса для запроса. Хотя допускаю что можно левыми путями инфу получить, так как поведение потока меняется. Вопрос накой это нужно ваще, если можно порт полностью отключить от процесса(NtRemoveProcessDebug).

Ранг: 4.0 (гость)
Статус: Участник

Создано: 25 мая 2014 08:52 · Поправил: jeep New!
Цитата · Личное сообщение · #5

Dr0p
Мне интересно как obsidium 1.5 палит не скрытые треды. Стоит запретить скрытие и появляется детект. Причем если на время проверок отцепить отладчик, а после снова прицепить - детекта нет.
кстати, obsidium твой side палит даже без отладчика


Ранг: 72.2 (постоянный)
Статус: Участник

Создано: 26 мая 2014 08:15 · Поправил: Dr0p New!
Цитата · Личное сообщение · #6

jeep

Не палило ничего:



Там надо опции наверно менять, хз.

Ранг: 39.5 (посетитель)
Статус: Участник

Создано: 26 мая 2014 13:31 New!
Цитата · Личное сообщение · #7

Если автор тулзы говорит "хз", то тулзу наверно пора в помойку. Вместе с автором


Ранг: 72.2 (постоянный)
Статус: Участник

Создано: 26 мая 2014 13:36 New!
Цитата · Личное сообщение · #8

spinz

Автор не помнит подходящую конфигурацию. Быть может ничего и менять не нужно. Давно тестилось.
 eXeL@B —› Вопросы новичков —› ThreadHideFromDebugger

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS