Что нового?



  • Я зарабатываю 100 000 RUB / месяц на этом сайте!

    А знаешь как? Я всего-лишь публикую (создаю темы), а админ мне платит. Трачу деньги на мороженое, робуксы и сервера в Minecraft. А ещё на паль из Китая. 

    Хочешь так же? Пиши и узнавай условия: https://t.me/alex_redact
    Реклама: https://t.me/yougame_official

C++ Race condition anti-anti-debug bypass

Ahora_technology
ANTICHEAT_OBFUSCATE_CODEMARKER
Пользователь
Ahora_technology
Пользователь
Статус
Оффлайн
Регистрация
2 Июл 2020
Сообщения
140
Реакции
285
Всем привет.
Помимо обычным
Пожалуйста, авторизуйтесь для просмотра ссылки.
для обхода anti-anti-debug tool можно просто использовать состояние гонки, чтобы просто обойти их!
Объяснение:
Многие anti-anti-debug tool's вызывают оригинальную функцию и потом с ней что-то делают.
Вот пример кода TitanHide с ProcessDebugPort:
C++:
Expand Collapse Copy 
static NTSTATUS NTAPI HookNtQueryInformationProcess(
    IN HANDLE ProcessHandle,
    IN PROCESSINFOCLASS ProcessInformationClass,
    OUT PVOID ProcessInformation,
    IN ULONG ProcessInformationLength,
    OUT PULONG ReturnLength)
{
    NTSTATUS ret = Undocumented::NtQueryInformationProcess(ProcessHandle, ProcessInformationClass, ProcessInformation, ProcessInformationLength, ReturnLength);
    {
        if(NT_SUCCESS(ret) && 
        ProcessInformation &&
        ProcessInformationClass != ProcessBasicInformation) //prevent stack overflow
        {
            else if(ProcessInformationClass == ProcessDebugPort)
            {
                if(Hider::IsHidden(pid, HideProcessDebugPort))
                {
                    Log("[TITANHIDE] ProcessDebugPort by %d\r\n", pid);
                    __try
                    {
                        BACKUP_RETURNLENGTH();
                    
                        *(ULONG_PTR*)ProcessInformation = 0;
                    
                        RESTORE_RETURNLENGTH();
                    }
                    __except(EXCEPTION_EXECUTE_HANDLER)
                    {
                        ret = GetExceptionCode();
                    }
                }
            }
        }
    }
    return ret;
}
Однако, есть маленький промежуток времени, благодаря которому мы может просто узнать реальный результат функции и мы злоупотребляем этим!
Единственное требование и недостаток :создать поток/потоки, постоянно вызывать функцию и смотреть был ли изменён наш входной буфер на интересующий нас результат.
Пример обнаружение TitanHide(DebugPort & HideThreadHideFromDebugger):

Пожалуйста, авторизуйтесь для просмотра ссылки.
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

exi
Гайд Обход античита Фейсита (Faceit Anticheat): как играть с читом на Фейсите в 2025?
2 3
Ответы
44
Просмотры
11K
WantToFreak
WantToFreak
Ahora_technology
Гайд VMProtect Black☭ut
Ответы
17
Просмотры
8K
mov0xFF
mov0xFF
Ahora_technology
Гайд Anti-debug под прицелом
Ответы
8
Просмотры
8K
Ahora_technology
Ahora_technology
colby57
Гайд [Reverse-Engineering] Разбор Overwatch 2: Исключения, ремаппинг, антиотладка
Ответы
13
Просмотры
4K
WantToFreak
WantToFreak
Ahora_technology
Гайд Infinity CRC
Ответы
2
Просмотры
4K
ninety99
ninety99
Немного о главном
Полезные мелочи
О нас

Проект предоставляет различный материал, относящийся к сфере киберспорта, программирования, ПО для игр, а также позволяет его участникам общаться на многие другие темы. Почта для жалоб: admin@yougame.biz

Поделиться страницей
Назад
Сверху Снизу