|
Разработчик
А зачем тебе скрывать статику? У тебя там версия Пермяков 2.0 которая детектит через секретные технологии твой дизассемблер?
x64dbg:
SharpOD тоже должен обходить, но не уверен насчёт последних версий.
x64dbg:
Пожалуйста, авторизуйтесь для просмотра ссылки.
SharpOD тоже должен обходить, но не уверен насчёт последних версий.
-
Автор темы
- #3
Спасибо
Разработчик
Давно детектед, плагин не обновляется несколько лет
✊Rot Front✊
Пользователь
Нет,VMP детектит HyperHide т.к автор любит вставлять код из
Пожалуйста, авторизуйтесь для просмотра ссылки.
и иногда автор делает
Пожалуйста, авторизуйтесь для просмотра ссылки.
или забивает на анализ работы функций :)Поменяйте хуки на прослушку(просто выводите параметры, которые VMP передает в вызове и проверьте их валидность) и посмотрите, что не так.
В крайнем случае, просто используйте
Пожалуйста, авторизуйтесь для просмотра ссылки.
т.к он предотвращает создание DebugObject,которое и использует VMP для обнаружения или
Пожалуйста, авторизуйтесь для просмотра ссылки.
/
Пожалуйста, авторизуйтесь для просмотра ссылки.
,но использовать против UM приложения гипервизор - полный бред.Лично автор отказался ломать голову тупым WoW64,поэтому рекомендую использовать драйвер(вы сказали,что x32dbg,поэтому предполагаю,что бинарник 32 битный).
UM решение -поставить bp в syscall,но вы не сможете изменить регистры, поэтому вам придётся использовать NtSetContextThread,но этот вариант костыльный и рекомендую просто юзать драйвер т.к в таком случае вам нужно предотвращать выполнение syscall и при этом не тригерить CRC
Последнее редактирование:
