Что нового?

Вопрос Loader Protect

  • Автор темы Автор темы Hamecok
  • Дата начала Дата начала
C++:
Expand Collapse Copy 
using namespace std;


bool IsDebugging( )
{
    if ( IsDebuggerPresent( ) || IsDebuggerPresentPEB( ) || CheckRemoteDebuggerPresentAPI( )
        || NtQueryInformationProcess_ProcessDebugPort( ) || NtQueryInformationProcess_ProcessDebugFlags( ) || NtQueryInformationProcess_ProcessDebugObject( )
        || NtSetInformationThread_ThreadHideFromDebugger( ) || CloseHandle_InvalideHandle( ) || UnhandledExcepFilterTest( )
        || HardwareBreakpoints( ) || SoftwareBreakpoints( ) || Interrupt_3( ) || MemoryBreakpoints_PageGuard( )
        || NtQueryObject_ObjectTypeInformation( ) || SetHandleInformatiom_ProtectedHandle( ) )
        return true;

    return false;
}

bool IsAnalysing( )
{
    auto m_fnIsRemoteSession = [ ] ( ) -> bool
    {
        const int m_iSessionMetrics = GetSystemMetrics( SM_REMOTESESSION );
        return m_iSessionMetrics != 0;
    };

    string m_szProcesses[ ] =
    {
        _xor_("ollydbg.exe"),            // OllyDebug debugger
        _xor_("ProcessHacker.exe"),        // Process Hacker
        _xor_("tcpview.exe"),            // Part of Sysinternals Suite
        _xor_("autoruns.exe"),            // Part of Sysinternals Suite
        _xor_("autorunsc.exe"),            // Part of Sysinternals Suite
        _xor_("filemon.exe"),            // Part of Sysinternals Suite
        _xor_("procmon.exe"),            // Part of Sysinternals Suite
        _xor_("regmon.exe"),            // Part of Sysinternals Suite
        _xor_("procexp.exe"),            // Part of Sysinternals Suite
        _xor_("idaq.exe"),                // IDA Pro Interactive Disassembler
        _xor_("ida.exe"),                // IDA Pro Interactive Dissasembler
        _xor_( "idaq64.exe"),            // IDA Pro Interactive Disassembler
        _xor_("ImmunityDebugger.exe"),    // ImmunityDebugger
        _xor_("Wireshark.exe"),            // Wireshark packet sniffer
        _xor_("dumpcap.exe"),            // Network traffic dump tool
        _xor_("HookExplorer.exe"),        // Find various types of runtime hooks
        _xor_("ImportREC.exe"),            // Import Reconstructor
        _xor_("PETools.exe"),            // PE Tool
        _xor_("LordPE.exe"),            // LordPE
        _xor_("dumpcap.exe"),            // Network traffic dump tool
        _xor_("SysInspector.exe"),        // ESET SysInspector
        _xor_("proc_analyzer.exe"),        // Part of SysAnalyzer iDefense
        _xor_("sysAnalyzer.exe"),        // Part of SysAnalyzer iDefense
        _xor_("sniff_hit.exe"),            // Part of SysAnalyzer iDefense
        _xor_("windbg.exe"),            // Microsoft WinDbg
        _xor_("joeboxcontrol.exe"),        // Part of Joe Sandbox
        _xor_("joeboxserver.exe"),        // Part of Joe Sandbox
        _xor_("x32dbg.exe"),            // x32dbg
        _xor_("x64dbg.exe"),            // x64dbg
        _xor_("x96dbg.exe"),                // x64dbg part
        _xor_("ida64.exe"),
        _xor_("httpdebugger.exe"),
        _xor_("cheatengine-x86_64.exe")
    };
    utils util;
    WORD m_iLength = sizeof( m_szProcesses ) / sizeof( m_szProcesses[ 0 ] );
    for ( int i = 0; i < m_iLength; i++ )
    {
        if (util.GetProcIDFromName( m_szProcesses[ i ].c_str( ) ) )
            return true;
    }

    return ( m_fnIsRemoteSession());
}

void HandleUserActivity( )
{
    if ( IsDebugging( ) || IsAnalysing( ) )
    {
        ErasePEHeaderFromMemory( );
        HANDLE m_hProcess = LI_FN( OpenProcess )( PROCESS_QUERY_INFORMATION | PROCESS_TERMINATE, 0, GetCurrentProcessId( ) );
        TerminateProcess( m_hProcess, 0 );
    }
}

bool isflex() {
    if (IsDebugging() || IsAnalysing()) {
        return true;
    }
    return false;
}
 
Hamecok написал(а):
всем привет, я пробую сделать свой антидебагер и крч я хочу сделать чтобы детектило окно "x64dbg" потомучто если сделать детект процесса то при переименовке дебагера он не будет делать детект. при запуске дебагера всегда в окне текст менеется и мне не получается сделать чтобы он его детектил, кто сможет помочь = 50 руб:)

если чо дс - .x64dbg
Нажмите для раскрытия...

Anti-debug под прицелом

Мне стало интересно, какие anti-debug трюки часто используют. Здесь будет рассмотрены популярные anti-debug трюки,как они работают в ядре и в добавок посмотрим фишки протекторов(VMP,Themida/WinLicense ). Для наглядности здесь будут сами примеры anti-отладки. Детекты через FindWindows/поиск...
yougame.biz yougame.biz

тут есть всё что тебя интересует
 
Eyelesss написал(а):
C++:
Expand Collapse Copy 
using namespace std;


bool IsDebugging( )
{
    if ( IsDebuggerPresent( ) || IsDebuggerPresentPEB( ) || CheckRemoteDebuggerPresentAPI( )
        || NtQueryInformationProcess_ProcessDebugPort( ) || NtQueryInformationProcess_ProcessDebugFlags( ) || NtQueryInformationProcess_ProcessDebugObject( )
        || NtSetInformationThread_ThreadHideFromDebugger( ) || CloseHandle_InvalideHandle( ) || UnhandledExcepFilterTest( )
        || HardwareBreakpoints( ) || SoftwareBreakpoints( ) || Interrupt_3( ) || MemoryBreakpoints_PageGuard( )
        || NtQueryObject_ObjectTypeInformation( ) || SetHandleInformatiom_ProtectedHandle( ) )
        return true;

    return false;
}

bool IsAnalysing( )
{
    auto m_fnIsRemoteSession = [ ] ( ) -> bool
    {
        const int m_iSessionMetrics = GetSystemMetrics( SM_REMOTESESSION );
        return m_iSessionMetrics != 0;
    };

    string m_szProcesses[ ] =
    {
        _xor_("ollydbg.exe"),            // OllyDebug debugger
        _xor_("ProcessHacker.exe"),        // Process Hacker
        _xor_("tcpview.exe"),            // Part of Sysinternals Suite
        _xor_("autoruns.exe"),            // Part of Sysinternals Suite
        _xor_("autorunsc.exe"),            // Part of Sysinternals Suite
        _xor_("filemon.exe"),            // Part of Sysinternals Suite
        _xor_("procmon.exe"),            // Part of Sysinternals Suite
        _xor_("regmon.exe"),            // Part of Sysinternals Suite
        _xor_("procexp.exe"),            // Part of Sysinternals Suite
        _xor_("idaq.exe"),                // IDA Pro Interactive Disassembler
        _xor_("ida.exe"),                // IDA Pro Interactive Dissasembler
        _xor_( "idaq64.exe"),            // IDA Pro Interactive Disassembler
        _xor_("ImmunityDebugger.exe"),    // ImmunityDebugger
        _xor_("Wireshark.exe"),            // Wireshark packet sniffer
        _xor_("dumpcap.exe"),            // Network traffic dump tool
        _xor_("HookExplorer.exe"),        // Find various types of runtime hooks
        _xor_("ImportREC.exe"),            // Import Reconstructor
        _xor_("PETools.exe"),            // PE Tool
        _xor_("LordPE.exe"),            // LordPE
        _xor_("dumpcap.exe"),            // Network traffic dump tool
        _xor_("SysInspector.exe"),        // ESET SysInspector
        _xor_("proc_analyzer.exe"),        // Part of SysAnalyzer iDefense
        _xor_("sysAnalyzer.exe"),        // Part of SysAnalyzer iDefense
        _xor_("sniff_hit.exe"),            // Part of SysAnalyzer iDefense
        _xor_("windbg.exe"),            // Microsoft WinDbg
        _xor_("joeboxcontrol.exe"),        // Part of Joe Sandbox
        _xor_("joeboxserver.exe"),        // Part of Joe Sandbox
        _xor_("x32dbg.exe"),            // x32dbg
        _xor_("x64dbg.exe"),            // x64dbg
        _xor_("x96dbg.exe"),                // x64dbg part
        _xor_("ida64.exe"),
        _xor_("httpdebugger.exe"),
        _xor_("cheatengine-x86_64.exe")
    };
    utils util;
    WORD m_iLength = sizeof( m_szProcesses ) / sizeof( m_szProcesses[ 0 ] );
    for ( int i = 0; i < m_iLength; i++ )
    {
        if (util.GetProcIDFromName( m_szProcesses[ i ].c_str( ) ) )
            return true;
    }

    return ( m_fnIsRemoteSession());
}

void HandleUserActivity( )
{
    if ( IsDebugging( ) || IsAnalysing( ) )
    {
        ErasePEHeaderFromMemory( );
        HANDLE m_hProcess = LI_FN( OpenProcess )( PROCESS_QUERY_INFORMATION | PROCESS_TERMINATE, 0, GetCurrentProcessId( ) );
        TerminateProcess( m_hProcess, 0 );
    }
}

bool isflex() {
    if (IsDebugging() || IsAnalysing()) {
        return true;
    }
    return false;

use:


}
Нажмите для раскрытия...
C++:
Expand Collapse Copy 
int main(){

    if (isflex()) {
        MessageBox(NULL, _xor_("Обнаружены запрещенные программы! Закройте их перед запуском лоадера.").c_str(), _xor_("Error").c_str(), MB_ICONERROR);
    }
 
Eyelesss написал(а):
C++:
Expand Collapse Copy 
int main(){

    if (isflex()) {
        MessageBox(NULL, _xor_("Обнаружены запрещенные программы! Закройте их перед запуском лоадера.").c_str(), _xor_("Error").c_str(), MB_ICONERROR);
    }
Нажмите для раскрытия...
а вы тоже _xor(...).c_str()?
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

AtomoV
Гайд Гайд как сделать свою защиту для чита
2
Ответы
24
Просмотры
2K
Varg Vikernes
Varg Vikernes
Z3bra
Outdated Zodiak - Fastcup Full Kernel Driver Cheat
Ответы
18
Просмотры
10K
kenjoo
kenjoo
CamachCatch
Слив последней версии EvaWare | Build versions 2.7
2
Ответы
34
Просмотры
10K
FuriArus
F
G
Гайд Dota 2 External Python [Zoomhack + Weather changer]
Ответы
17
Просмотры
1K
leromi
L
deity1007
Гайд Крякаем, выключаем Rust Cheat Check (RCC)
Ответы
4
Просмотры
1K
deity1007
deity1007
Немного о главном
Полезные мелочи
О нас

Проект предоставляет различный материал, относящийся к сфере киберспорта, программирования, ПО для игр, а также позволяет его участникам общаться на многие другие темы. Почта для жалоб: admin@yougame.biz

Поделиться страницей
Назад
Сверху Снизу