6 komentarzy do “Niewidzialny breakpoint”

  1. to nie wina plagina; masz software bp (0xCC) na MessageBoxA; olek zawsze pokazuje falszywa zawartosc spaczowanej przez siebie pamieci, ale nie potrafi oszukac instrukcji, ktore sie do tej pamieci odwoluja

    Odpowiedz
  2. Prawda jak zwykle leży pośrodku – po aktywacji plugina phant0m ten po cichaczu wrzuca breakpointy na cala rodzinke MessageBox/Ex/A/W oraz inne api (GMER to ladnie pokazuje).

    Odpowiedz
  3. hmmm luknalem szybko na phantoma 1.20 i 1.54 nie widze nic co by wstawialo breakpointy na te APIsy; po odpaleniu w czystym olku (tylko olek i phantom), wlaczeniu wszystkich opcji phantoma, restarcie, i zaladowaniu i uruchomieniu procesu nie widac w gmerze zadnych patchow na tych apisach (tj. MessageBox/Ex/A/W); widac sporo patchow w kernelu (extrem.sys i rdtsc.sys), ukryty proces olka, oraz phantomowe patche na antiantidebuggach w userlandzie (ntcontinue, blockinput, gettickcount,kiuserexceptionpatcher,itd.);

    nie miales jakichs starych bp na tych APIsach zapisanych w udd?

    Odpowiedz
  4. Nie dało mi to spać, faktycznie był plik .UDD zrobiony i mimo, że breakpointy były usunięte, to każdorazowe włączenie phant0m-a powodowało, że breakpointy na nowo pojawiały się na liście za każdym razem, dzięki panie hyhyhy za sugestie.

    Odpowiedz
  5. Też się z czymś takim spotkałem. Możliwe, że masz hw bp ustawione których nie widać podczas debugowania kodu. Albo jakiś inny plugin typu RL!APIFinder który również wstawia niewidzialne bp na api. Dobre na antidebugi 😀

    Odpowiedz

Dodaj komentarz