Bueno, esta es una pequeña funcion que he hecho para detectar si estas siendo Debuggeado (o como se escriba :xD)
Esta funcion se basa en que, con privilegios normales nuestra aplicacion no puede abrir procesos de system (csrss.exe) y por lo visto el OllyDbg tiene privilegios suficientes para que podamos abrir el proceso...
Aqui va el code:
Option Explicit
'IsDbgCrss
Private Declare Function CsrGetProcessId Lib "ntdll.dll" () As Long
Private Declare Function OpenProcess Lib "kernel32.dll" (ByVal dwDesiredAccess As Long, ByVal bInheritHandle As Long, ByVal dwProcessId As Long) As Long
'---------------------------------------------------------------------------------------
' Procedure : IsDbgCsrss
' Author : Karcrack
' Date : 30/12/2008
' Purpose : Check if our app is being debugged
' Usage : If IsDbgCrss = True Then MsgBox "I'm Debugged"
' Tested On : OllyDbg v2.0 ß
' Reference : http://www.piotrbania.com/all/articles/antid.txt
'---------------------------------------------------------------------------------------
'
Public Function IsDbgCsrss() As Boolean
IsDbgCsrss = CBool(OpenProcess(&H1F0FFF, 0, CsrGetProcessId)) '&H1F0FFF = PROCESS_ALL_ACCESS
End Function
Solo lo he probado con el OllyDbg v2.0 ß... si alguien lo prueba con otro Debugger que avise ;)
Cabe destacar que para este codigo se necesitan privilegios de Admin... pero bueno, para ejecutar el OllyDbg en su total magnitud tambien :P
Saludos ;D
Con Olly anda bien, con el de C++ nada :/
Cita de: cobein en 30 Diciembre 2008, 20:35 PM
Con Olly anda bien, con el de C++ nada :/
Ya decia yo... porque con el OllyDbg viejo (1.0) no me funcionaba.
Por lo visto patinaron al sacar la nueva version, con los privilegios... :laugh:
Saludos ;D
Hay un plugin del OllyDbg cuyo nombre no recuerdo que se salta todas estas protecciones. Yo la probé y funcionaba xD
Cita de: Spider-Net en 31 Diciembre 2008, 12:55 PM
Hay un plugin del OllyDbg cuyo nombre no recuerdo que se salta todas estas protecciones. Yo la probé y funcionaba xD
Quieres decir que la funcion funcionaba con el Plugin magico ese :rolleyes: :laugh: :xD
Entonces perfecto ;D
Merry Crysis And Happy New Year :D
No, lo que quería decir es que el plugin se saltaba correctamente todas las protecciones que encontré :xD
Saludos
Cita de: Spider-Net en 31 Diciembre 2008, 13:28 PM
No, lo que quería decir es que el plugin se saltaba correctamente todas las protecciones que encontré :xD
Saludos
Ah! :xD... me habias ilusionado :-( :xD... a ver si recuerdas el nombre, y busco como saltarme ese madilto plugin >:( ;D
Saludos ;D
Te la traduci a asm :xD
http://foro.elhacker.net/programacion_general/src_isdbgcrss_funcion_para_saber_si_estamos_siendo_debuggeados-t240264.0.html;msg1150643#new