|
Вопрос VMProtectIsDebuggerPresent
- Автор темы SQL
- Дата начала
Эксперт
Эксперт
- Статус
- Оффлайн
- Регистрация
- 9 Апр 2020
- Сообщения
- 1,480
- Реакции
- 680
Спасибо.
А есть ли способ проверить, в каком из режимов он нашел отладчик ?
Участник
- Статус
- Оффлайн
- Регистрация
- 17 Дек 2018
- Сообщения
- 548
- Реакции
- 201
можешь ещё ему помочь релизнуть сектор? ибо он заебал откладывать :rage:
Уникальная группа
- Статус
- Оффлайн
- Регистрация
- 12 Окт 2017
- Сообщения
- 449
- Реакции
- 183
вызвать сначала с false потом с true
Эксперт
Эксперт
- Статус
- Оффлайн
- Регистрация
- 9 Апр 2020
- Сообщения
- 1,480
- Реакции
- 680
Чел, я атдыхаю
Тип если я вызовус VMProtectIsDebuggerPresent(false) и он вернет true, то это будет KernelMode?
Уникальная группа
- Статус
- Оффлайн
- Регистрация
- 12 Окт 2017
- Сообщения
- 449
- Реакции
- 183
C++:
if (VMProtectIsDebuggerPresent(false)) {
// usermode debugger found
} else if (VMProtectIsDebuggerPresent(true)) {
// kernelmode debugger found (есть шанс словить и юзермод дебаггер здесь, но суть ты понял)
}
Пользователь
- Статус
- Оффлайн
- Регистрация
- 2 Июл 2020
- Сообщения
- 140
- Реакции
- 285
Эта проверка на знания английского?
В SDK максимально подробно всё написано и там не используются сложные английские слова или игра слов.
Я рекомендую не использовать только "затычку" от VMP т.к её легко обойти и с большим шансом против вас будут использовать драйвера.
Если вы реально хотите найти способы противодействовать дебаггеру,то изучите работу NtCreateDebugObject и проанализируйте работу популярных методов anti-debug.
В любом случае, вы можете уйти в ядро и большинство дебаггеров станут бесполезными(исключение HyperDbg,но тут другая история).
