[SRC] IsDbgCrss - Funcion para saber si estamos siendo 'debuggeados'

Iniciado por Karcrack, 30 Diciembre 2008, 19:03 PM

0 Miembros y 1 Visitante están viendo este tema.

Karcrack

Bueno, esta es una pequeña funcion que he hecho para detectar si estas siendo Debuggeado (o como se escriba :xD)

Esta funcion se basa en que, con privilegios normales nuestra aplicacion no puede abrir procesos de system (csrss.exe) y por lo visto el OllyDbg tiene privilegios suficientes para que podamos abrir el proceso...

Aqui va el code:
Código (vb) [Seleccionar]
Option Explicit

'IsDbgCrss
Private Declare Function CsrGetProcessId Lib "ntdll.dll" () As Long
Private Declare Function OpenProcess Lib "kernel32.dll" (ByVal dwDesiredAccess As Long, ByVal bInheritHandle As Long, ByVal dwProcessId As Long) As Long

'---------------------------------------------------------------------------------------
' Procedure : IsDbgCsrss
' Author    : Karcrack
' Date      : 30/12/2008
' Purpose   : Check if our app is being debugged
' Usage     : If IsDbgCrss = True Then MsgBox "I'm Debugged"
' Tested On : OllyDbg v2.0 ß
' Reference : http://www.piotrbania.com/all/articles/antid.txt
'---------------------------------------------------------------------------------------
'
Public Function IsDbgCsrss() As Boolean
    IsDbgCsrss = CBool(OpenProcess(&H1F0FFF, 0, CsrGetProcessId)) '&H1F0FFF = PROCESS_ALL_ACCESS
End Function


Solo lo he probado con el OllyDbg v2.0 ß... si alguien lo prueba con otro Debugger que avise ;)

Cabe destacar que para este codigo se necesitan privilegios de Admin... pero bueno, para ejecutar el OllyDbg en su total magnitud tambien :P

Saludos ;D

cobein

http://www.advancevb.com.ar
Más Argentino que el morcipan
Aguante el Uvita tinto, Tigre, Ford y seba123neo
Karcrack es un capo.

Karcrack

Cita de: cobein en 30 Diciembre 2008, 20:35 PM
Con Olly anda bien, con el de C++ nada :/
Ya decia yo... porque con el OllyDbg viejo (1.0) no me funcionaba.
Por lo visto patinaron al sacar la nueva version, con los privilegios... :laugh:

Saludos ;D

Spider-Net

Hay un plugin del OllyDbg cuyo nombre no recuerdo que se salta todas estas protecciones. Yo la probé y funcionaba xD

Karcrack

Cita de: Spider-Net en 31 Diciembre 2008, 12:55 PM
Hay un plugin del OllyDbg cuyo nombre no recuerdo que se salta todas estas protecciones. Yo la probé y funcionaba xD
Quieres decir que la funcion funcionaba con el Plugin magico ese :rolleyes: :laugh: :xD

Entonces perfecto ;D

Merry Crysis And Happy New Year :D

Spider-Net

No, lo que quería decir es que el plugin se saltaba correctamente todas las protecciones que encontré  :xD

Saludos

Karcrack

Cita de: Spider-Net en 31 Diciembre 2008, 13:28 PM
No, lo que quería decir es que el plugin se saltaba correctamente todas las protecciones que encontré  :xD

Saludos
Ah! :xD... me habias ilusionado :-( :xD... a ver si recuerdas el nombre, y busco como saltarme ese madilto plugin >:( ;D

Saludos ;D

krackwar

Mi blog
Bienvenido krackwar, actualmente tu puntuación es de 38 puntos y tu rango es Veteran.
El pollo número 1, es decir yo, (krackwar), adoro a Shaddy como a un dios.