to nie wina plagina; masz software bp (0xCC) na MessageBoxA; olek zawsze pokazuje falszywa zawartosc spaczowanej przez siebie pamieci, ale nie potrafi oszukac instrukcji, ktore sie do tej pamieci odwoluja
Prawda jak zwykle leży pośrodku – po aktywacji plugina phant0m ten po cichaczu wrzuca breakpointy na cala rodzinke MessageBox/Ex/A/W oraz inne api (GMER to ladnie pokazuje).
hmmm luknalem szybko na phantoma 1.20 i 1.54 nie widze nic co by wstawialo breakpointy na te APIsy; po odpaleniu w czystym olku (tylko olek i phantom), wlaczeniu wszystkich opcji phantoma, restarcie, i zaladowaniu i uruchomieniu procesu nie widac w gmerze zadnych patchow na tych apisach (tj. MessageBox/Ex/A/W); widac sporo patchow w kernelu (extrem.sys i rdtsc.sys), ukryty proces olka, oraz phantomowe patche na antiantidebuggach w userlandzie (ntcontinue, blockinput, gettickcount,kiuserexceptionpatcher,itd.);
nie miales jakichs starych bp na tych APIsach zapisanych w udd?
Nie dało mi to spać, faktycznie był plik .UDD zrobiony i mimo, że breakpointy były usunięte, to każdorazowe włączenie phant0m-a powodowało, że breakpointy na nowo pojawiały się na liście za każdym razem, dzięki panie hyhyhy za sugestie.
Też się z czymś takim spotkałem. Możliwe, że masz hw bp ustawione których nie widać podczas debugowania kodu. Albo jakiś inny plugin typu RL!APIFinder który również wstawia niewidzialne bp na api. Dobre na antidebugi 😀
Bo kolejny plugin do olka cos pierd…. 🙂 A na serio, nie uzywalem phantoma, ale stawiam ze to jakies ukrywanie bp
to nie wina plagina; masz software bp (0xCC) na MessageBoxA; olek zawsze pokazuje falszywa zawartosc spaczowanej przez siebie pamieci, ale nie potrafi oszukac instrukcji, ktore sie do tej pamieci odwoluja
Prawda jak zwykle leży pośrodku – po aktywacji plugina phant0m ten po cichaczu wrzuca breakpointy na cala rodzinke MessageBox/Ex/A/W oraz inne api (GMER to ladnie pokazuje).
hmmm luknalem szybko na phantoma 1.20 i 1.54 nie widze nic co by wstawialo breakpointy na te APIsy; po odpaleniu w czystym olku (tylko olek i phantom), wlaczeniu wszystkich opcji phantoma, restarcie, i zaladowaniu i uruchomieniu procesu nie widac w gmerze zadnych patchow na tych apisach (tj. MessageBox/Ex/A/W); widac sporo patchow w kernelu (extrem.sys i rdtsc.sys), ukryty proces olka, oraz phantomowe patche na antiantidebuggach w userlandzie (ntcontinue, blockinput, gettickcount,kiuserexceptionpatcher,itd.);
nie miales jakichs starych bp na tych APIsach zapisanych w udd?
Nie dało mi to spać, faktycznie był plik .UDD zrobiony i mimo, że breakpointy były usunięte, to każdorazowe włączenie phant0m-a powodowało, że breakpointy na nowo pojawiały się na liście za każdym razem, dzięki panie hyhyhy za sugestie.
Też się z czymś takim spotkałem. Możliwe, że masz hw bp ustawione których nie widać podczas debugowania kodu. Albo jakiś inny plugin typu RL!APIFinder który również wstawia niewidzialne bp na api. Dobre na antidebugi 😀