Пользователь
- Статус
- Оффлайн
- Регистрация
- 2 Июл 2020
- Сообщения
- 142
- Реакции
- 293
Очередной трюк против UM anti-anti-debug tool...?
ScyllaHide & ShapOD используют инжект в память процесса для установки хуков и предотвращения обнаружения дебаггера.
Поскольку код перехвата находится в нашем процессе мы можем обнаружить нарождение anti-anti-debug tool и попытку скрыть анализ.
Поскольку проверка является ли процесс дебаггера и последующие попытки его скрыть приводят к забавному моменту - можно обнаружить сам PID дебаггера.
ScyllaHide
Итог всего этого является лёгкое получение самого PID дебаггера.
ScyllaHide:
SharpOD:
ScyllaHide & ShapOD используют инжект в память процесса для установки хуков и предотвращения обнаружения дебаггера.
Поскольку код перехвата находится в нашем процессе мы можем обнаружить нарождение anti-anti-debug tool и попытку скрыть анализ.
Поскольку проверка является ли процесс дебаггера и последующие попытки его скрыть приводят к забавному моменту - можно обнаружить сам PID дебаггера.
ScyllaHide
Пожалуйста, авторизуйтесь для просмотра ссылки.
PID дебаггера, если включена любая функция для перехвата, когда SharpOD инжектится гарантированно(даже при отключении всех функция,но если плагин установлен) и гарантированно вшивает PID дебаггера.Итог всего этого является лёгкое получение самого PID дебаггера.
ScyllaHide:
SharpOD:
Пожалуйста, авторизуйтесь для просмотра ссылки.
Пожалуйста, авторизуйтесь для просмотра ссылки.
Последнее редактирование:
