✊Rot Front✊
Пользователь
-
Автор темы
- #1
Небольшой пример с anti-freez/anti-attach(побочный эффект) process.
Итак, когда дебаггер присоединяется,вызывается NtDebugActiveProcess и он в конечном итоге вызывает PsSuspendThread(ну или когда пытаетесь заморозить поток/процесс).
PsSuspendThread изменяет статус WaitReason в Tcb,который можно получить сексуальным классом SystemProcessInformation т.е вам даже не нужно присоединяться к процессу.
Это можно использовать в качестве anti-attach трюка или для предотвращения заморозки процесса/потоков.
Проблема:
Я не вижу нормального способа использовать это в самом процессе, поэтому единственный быстрый, но не лучший вариант:shellcode в другой процесс.
Можно создать поток в своём процессе с флагом
Сам пример с использованием этого
Итак, когда дебаггер присоединяется,вызывается NtDebugActiveProcess и он в конечном итоге вызывает PsSuspendThread(ну или когда пытаетесь заморозить поток/процесс).
PsSuspendThread изменяет статус WaitReason в Tcb,который можно получить сексуальным классом SystemProcessInformation т.е вам даже не нужно присоединяться к процессу.
Это можно использовать в качестве anti-attach трюка или для предотвращения заморозки процесса/потоков.
Проблема:
Я не вижу нормального способа использовать это в самом процессе, поэтому единственный быстрый, но не лучший вариант:shellcode в другой процесс.
Можно создать поток в своём процессе с флагом
Пожалуйста, авторизуйтесь для просмотра ссылки.
,но это в сборке 19H1 и выше.Сам пример с использованием этого
Пожалуйста, авторизуйтесь для просмотра ссылки.
