Вопрос Не даёт запустить лоадер в дебаггере

Забаненный
Статус
Оффлайн
Регистрация
19 Янв 2023
Сообщения
41
Реакции[?]
1
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Наткнулся на такую проблему, при запуске лоадера в дебаггере через несколько запусков я не могу запустить лоадер, мешает movzx bp,byte ptr ds:[rbx] изменяется RFLAGS сначало 0000000000010207 потом 0000000000010205, и если продолжать нажимать на кнопку запуска то будет просто менятся с 0000000000010202 на 0000000000010200 и так бесконечно, кто знает помогите)
 
Начинающий
Статус
Оффлайн
Регистрация
10 Янв 2023
Сообщения
19
Реакции[?]
0
Поинты[?]
0
Возможно это просто антидебг трюк.Сам с таким сталкивался потом через некоторое время обнаружил что все мои фотки,сурсы,аккаунты и другие личные данные были украдены.Судя по всему если лоадер обнаруживает дебаггер то заражает комп вирусом.Короче нужно быть аккуратным......
 
Забаненный
Статус
Оффлайн
Регистрация
19 Янв 2023
Сообщения
41
Реакции[?]
1
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Возможно это просто антидебг трюк.Сам с таким сталкивался потом через некоторое время обнаружил что все мои фотки,сурсы,аккаунты и другие личные данные были украдены.Судя по всему если лоадер обнаруживает дебаггер то заражает комп вирусом.
Вы не знаете как это обойти?, я использую titanhide думал поможет, но видимо не поможет
 
Начинающий
Статус
Оффлайн
Регистрация
10 Янв 2023
Сообщения
19
Реакции[?]
0
Поинты[?]
0
Вы не знаете как это обойти?, я использую titanhide думал поможет, но видимо не поможет
А посмотреть возможности нету?Я имею ввиду может Вам виртуализация мсешает или другие методы обфускации?Сам скачивал ТитанХайд отключал пачгурд все равно детектило.Там все было под Vmprotect я и забил.Короче суть в том что нужно самому трасировать и смотреть причину и в случае антидебага патчить проверку(типо je на nop менять или je на jmp).Там что все под виртуализацией?И что за лоадер Ваш или вы чужой реверсите?
 
Забаненный
Статус
Оффлайн
Регистрация
19 Янв 2023
Сообщения
41
Реакции[?]
1
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
А посмотреть возможности нету?Я имею ввиду может Вам виртуализация мсешает или другие методы обфускации?Сам скачивал ТитанХайд отключал пачгурд все равно детектило.Там все было под Vmprotect я и забил.Короче суть в том что нужно самому трасировать и смотреть причину и в случае антидебага патчить проверку(типо je на nop менять или je на jmp).Там что все под виртуализацией?И что за лоадер Ваш или вы чужой реверсите?
Можешь рассказать подробно как это пропатчить я не понял что ты написал
 
Начинающий
Статус
Оффлайн
Регистрация
10 Янв 2023
Сообщения
19
Реакции[?]
0
Поинты[?]
0
Можешь рассказать подробно как это пропатчить я не понял что ты написал
Если у тебя без дебагера лоадер работает исправно,а под дебагером выдает exception то вывод один тебя детектит.Нужно протрасировать код и посмотреть почему это происходит.Самый простой пример это IsDebuggerPresent(тебя так детектит не может потому что у тебя титанхайд но просто как пример).Вот так будет выглядить ассемблерный код к примеру(если нету виртуализации и других методов обфускации).

call IsDebuggerPresent
cmp eax,1
jne label
ExitProcess
label:
продолжает выполнение
В случае если дебагер обнаружен IsDebuggerPresent вернет 1.Дальше cmp,eax 1 установит ZF флаг в 1 и прыжок JNE не совершится так как ZF = 1,и у тебя закроется процесс(как пример он может выдавать исключение как у тебя).Твоя задача пропатчить чтобы jne всегда совершал прыжок поэтому ты меняешь jne на jmp и получается следующий код

call IsDebuggerPresent
cmp eax,1
jmp label//процесс всегда продолжит выполнение и не выдаст ни искдючения не закроет его как в данном случае.
ExitProcess
label:
продолжает выполнение.

Это самый простой пример ,и точно это не тот пример который подходит под твой случай(у тебя титанхайд законтрит это).Но суть такая же.Если там вмпротект или темида то все намгого усложняется.Вот как то так ,но ты должен найти эту функцию или шеллкод который детектит тебя.Может по имени девайса через CreateFileA детектить или создавать открытый поток и потом запрашивать NtQueryInformationThread (у тебя титанхайд всегда вернет что он скрыт),короче так без трасировки не полймешль
 
Последнее редактирование:
Участник
Статус
Оффлайн
Регистрация
23 Апр 2022
Сообщения
695
Реакции[?]
326
Поинты[?]
12K
Если у тебя без дебагера лоадер работает исправно,а под дебагером выдает exception то вывод один тебя детектит.Нужно протрасировать код и посмотреть почему это происходит.Самый простой пример это IsDebuggerPresent(тебя так детектит не может потому что у тебя титанхайд но просто как пример).Вот так будет выглядить ассемблерный код к примеру(если нету виртуализации и других методов обфускации).

call IsDebuggerPresent
cmp eax,1
jne label
ExitProcess
label:
продолжает выполнение
В случае если дебагер обнаружен IsDebuggerPresent вернет 1.Дальше cmp,eax 1 установит ZF флаг в 1 и прыжок JNE не совершится так как ZF = 1,и у тебя закроется процесс(как пример он может выдавать исключение как у тебя).Твоя задача пропатчить чтобы jne всегда совершал прыжок поэтому ты меняешь jne на jmp и получается следующий код

call IsDebuggerPresent
cmp eax,1
jmp label//процесс всегда продолжит выполнение и не выдаст ни искдючения не закроет его как в данном случае.
ExitProcess
label:
продолжает выполнение.

Это самый простой пример ,и точно это не тот пример который подходит под твой случай(у тебя титанхайд законтрит это).Но суть такая же.Если там вмпротект или темида то все намгого усложняется.Вот как то так ,но ты должен найти эту функцию или шеллкод который детектит тебя.
1676128427338.png

ахуеть :roflanBuldiga:
 
Участник
Статус
Оффлайн
Регистрация
23 Апр 2022
Сообщения
695
Реакции[?]
326
Поинты[?]
12K
Наткнулся на такую проблему, при запуске лоадера в дебаггере через несколько запусков я не могу запустить лоадер, мешает movzx bp,byte ptr ds:[rbx] изменяется RFLAGS сначало 0000000000010207 потом 0000000000010205, и если продолжать нажимать на кнопку запуска то будет просто менятся с 0000000000010202 на 0000000000010200 и так бесконечно, кто знает помогите)
Так ну подожди, щас быстренько проэмулирую в башке работу твоего бинарника и скажу как пофиксить :FeelsBadMan:
 
Начинающий
Статус
Оффлайн
Регистрация
10 Янв 2023
Сообщения
19
Реакции[?]
0
Поинты[?]
0
Участник
Статус
Оффлайн
Регистрация
23 Апр 2022
Сообщения
695
Реакции[?]
326
Поинты[?]
12K
Ну можно просто сдампить ньюевеледжом и пройтись по LNE процеса,открыв потоки думаю поможет.Если ты этого не знаешь.....Соболезную....Загугли.......
Мужик, тема по поводу екзепшена , ты высрал хуйню не по теме и сам сказал что это не подходит тсу.Нахуя ты это высрал? )

1676138754729.png
 
Последнее редактирование:
Сверху Снизу