wenas, he buscado y no he encontrado ningun programa ni nada que evite que me sale el anti debugger que tiene un programa cuando le paso el olly, he leido algo de que kernel32.dll tiene que devolver un valor 0 a la api IsDebuggerPresent para que no lo detecte, sabeis algun buen manual donde salga todo esto?? he estado mirando y no he encontrado casi anda, porfa ayuda :P
P.D.: perdon si me he equivocado en algo, pero toy empezando xDD
pon un bpx en la api y cuando pares en ella das a F7 y antes del ret pone en eax el 1 haces los cambios para que te ponga el 0 y listo.
Mr.Potato sabes donde puedo encontrar un manual sobre eso?? esque estoy empezando, toy leyendo manuales y sobre esto no he encontrao ninguno (sobre saltarse los anti debuggers), la verdad k no te entendio casi na, mejor dime un manual que me lo leere muy detenidamente, gracias ;)
pues un manual especifico sobre eso yo personalemente no he leido, pero si recuerdo de algun tutorial averlo leido. lo siento pero no te puedo dar una url con algo especifico. pasate por la web de karpoff y mira aver si encuentras algo.
aver si ahora me entiendes, sopon que estas parado en la llamada a IsDebuggerPresent, F7 y en mi pc me aparece asi:
MOVZX EAX,BYTE PTR DS:[EAX+2]
RETN
ahi pone el 1 en eax si pongo MOVZX EAX,BYTE PTR DS:[EAX] me pone 0.
tengo que leer mas sobre el tema, creo k ire mucho mas despacio
muchas gracias por todo ;D
Y cómo podría deshabilitarse permanentemente el IsDebuggerPresent?
Leí algo sobre modificar el kernel32.dll, puede ser?
si lo modificas para q siempre de 0 si.
y eso cómo se haría? ???
haces una copia de la dll la editas y que ponga en eax 0 siempre.
Ok, gracias. Voy a investigar un poco más porque no lo veo mu claro.
He encontrado un par de cosas interesantes y las dejo aquí por si a alguien le sirven:
Cómo editar el kernel y una explicación muy buena sobre el funcionamiento de los debuggers en windows:
http://invisionfree.com/forums/iZhal/index.php?s=3f8a8cf0734defa30691f96feb2f11ed&showtopic=338
Y un plugin para el ollydbg que oculta el debugger con un solo click, así te olvidas de tener que ponerle el breakpoint a IsDebuggerPresent:
http://membres.lycos.fr/svtc/Progs/IsDebuggerPresent1.4.rar
Tengo un problemilla.
Me he bajado el pluging anterior, según tengo entendido, tengo que descomprimirlo en la carpeta del Olly (tengo la version 1.09d), no?
Pues bien, no se como cargarlo, he visto en el html del rar una imagen donde sale en la barra de herramientas un boton con "Plugins" pues a mi no me sale.
No se que hago mal, me podeis orientar?
n0nick.
Dale a options, appearance y alli escoges la ruta de dnd tengas puestos los pluggins.
S2ludos
Joder, pues es verdad. Si es un perro me muerde :-[
Gracias por responder tan rapido Shoulck.
Saludos.
n0nick.
ahh, si tenes win 98 ese pluggins no vale para esconder al olly. Bajate el ollyghost++, que va muy bien