fand ich eine Anleitung, wie man es in OllyDbg umgehen:Wie umgehen isDebuggerPresent mit x64dbg
Aber wie das für eine x64-Anwendung zu tun?
Ich habe folgende gefunden:
Wie muss ich manipulieren diese es den Debugger nicht zu tun bekommen erkennen?
Sie können es auf die gleiche Weise wie in der Anleitung beschrieben (z. B. durch Patchen des Codes von IsDebuggerPresent) tun.
Oder Sie können einen Haltepunkt an der Anweisung "movzx eax, Byte ptr ds: [rax + 2]" setzen, und wenn das Programm am Haltepunkt stoppt, gehen Sie zu RAX + 2 im Dump-Bereich und ändern Sie die Byte von 1 bis 0.
Aber wenn ich nur Folgendes tue: Ersetze diese Funktion mit mov rax, 0 mov eax, 0 -> immer noch den Debugger irgendwo ... –
!! Ich habe die Verwendung von CheckRemoteDebuggerPresent im Code gefunden. Muss ich mich auch darum kümmern? –
Ja, wahrscheinlich. Es gibt viele Möglichkeiten, um zu überprüfen, ob das Programm debuggt wird. Lesen Sie z.B. dies: http://antukh.com/blog/2015/01/19/malware-techniquescheat-sheet/ –
Verwenden Sie den Befehl 'dbh' – mrexodia