Как определить иду?

uberdriver · 5 Апр 2020

Приветствую, нужна помощь, делаю проверку в лоадере на запущенные дебаггеры, и делаю эту проверку на классах окна, но у иды класс окна Qt5QWindowIcon, как выйти из ситуации thx <3

voodro1337 · 5 Апр 2020

поиск по имени окна\поиск файла на пк\поиск имени процесса.У того же дебаггера класс окна Qt = если найдется любая прога с qt классом(не дебаггер), то будет ложное реагирование.

voodro1337 · 5 Апр 2020

Вообще зачем тебе делать проверку на иду? Ее в основном используют для статик анализа,а для динамики x64dbg

uberdriver · 5 Апр 2020

rx1337 написал(а):
поиск по имени окна\поиск файла на пк\поиск имени процесса.У того же дебаггера класс окна Qt = если найдется любая прога с qt классом(не дебаггер), то будет ложное реагирование.

но ведь имя окна можно поменять, имя файла и процесса тоже

0x000cb · 5 Апр 2020

Первая же ссыль в гугле:

Пожалуйста, авторизуйтесь для просмотра ссылки.

voodro1337 · 5 Апр 2020

uberdriver написал(а):
но ведь имя окна можно поменять, имя файла и процесса тоже

но ведь можно детектить отладку по другому). Нолик показал отличный вариант детекта(через реестр,а я как-то не задумывался об этом).
Также используй детекты in3 бряков,защиту от хуков не забудь добавить и многое другое есть в гугле.

Dimedrol · 6 Апр 2020

uberdriver написал(а):
Приветствую, нужна помощь, делаю проверку в лоадере на запущенные дебаггеры, и делаю эту проверку на классах окна, но у иды класс окна Qt5QWindowIcon, как выйти из ситуации thx <3

Чекаешь имя окна - получаешь PID процесса - чекаешь список модулей в данном процессе (ida.wll или ida64.wll).
Перебираешь и сверяешь их.

Но по сути это и нафик не нужно.

voodro1337 · 6 Апр 2020

Dimedrol написал(а):
Чекаешь имя окна - получаешь PID процесса - чекаешь список модулей в данном процессе.
Перебираешь и сверяешь их.

Но по сути это и нафик не нужно.

если имя заренеймят?)

Dimedrol · 6 Апр 2020

rx1337 написал(а):
если имя заренеймят?)

Ок.
Перебираешь все процессы на поиск модулей в них (ida.wll или ida64.wll)

voodro1337 · 6 Апр 2020

Dimedrol написал(а):
Ок.
Перебираешь все процессы на поиск модулей в них (ida.wll или ida64.wll)

ну да логично,я и забыл про этот способ)

0x000cb · 6 Апр 2020

Dimedrol написал(а):
Ок.
Перебираешь все процессы на поиск модулей в них (ida.wll или ida64.wll)

Нагрузка flexing. С таким успехом запускай отдельный поток на то чтобы чекать на наличие иды таким образом каждую секунду.

Dimedrol · 6 Апр 2020

0x000cb написал(а):
Нагрузка flexing. С таким успехом запускай отдельный поток на то чтобы чекать на наличие иды таким образом каждую секунду.

Ты походу не в теме.
Тема про методы, а не про реализацию.

0x000cb · 6 Апр 2020

Dimedrol написал(а):
Ты походу не в теме.
Тема про методы, а не про реализацию.

Ну так человек спрашивает методы чтобы их реализовать. Или по твоему чисто по фану спросил?

Dimedrol · 7 Апр 2020

0x000cb написал(а):
Ну так человек спрашивает методы чтобы их реализовать. Или по твоему чисто по фану спросил?

Ты думаешь что человек не сможет правильно реализовать?

0x000cb · 7 Апр 2020

Dimedrol написал(а):
Ты думаешь что человек не сможет правильно реализовать?

А как ты хочешь реализовать итерацию всех модулей в всех процессах? Максимум что можно - ивент при создании процесса кидать, и опять же это хуевая затея из-за оптимизации.

Как определить иду?

Похожие темы