Еще раз об антиотладке

[Quake3]

Такой код (фасм). Под отладчиком выводит 0xF00DBAAD
тестил под обоими Windbg, x64dbg, Ida dbg.

Можете у себя глянуть, хз баян или нет, но может пригодится.

   format PE GUI 5.0
  section '.data' data readable writeable
 buf db 256 dup (0)

;   =========================================================
    section '.code' code import writeable readable executable
;   =========================================================
 
    include 'win32ax.inc'
 ;   =========================================================
;           IAT
;   =========================================================
library kernel32, 'kernel32.dll',\
        user32, 'user32.dll',ntdll,'ntdll.dll'
 
import  kernel32,\
        ExitProcess, 'ExitProcess',\
        GetProcessHeap,'GetProcessHeap',\
        Sleep,'Sleep'
                
import  user32,\
        MessageBoxA, 'MessageBoxA',\
        wsprintfA,'wsprintfA'

import ntdll,RtlAlloc,'RtlAllocateHeap'

;   =========================================================
;           ENTRY POINT
;   =========================================================
entry $

invoke Sleep,0
invoke RtlAlloc,<invoke GetProcessHeap>,0,1024
mov ecx,[eax+10]
invoke wsprintfA,buf,"ecx = %x",ecx
invoke MessageBoxA,0,buf,"Caption",MB_OK


invoke ExitProcess,0

з.ы. Sleep в коде не нужен, просто ставил на него бряк.

 

[DildoFagins]

Ну да, куча при отладке заполняется всякими забавными константами: https://waleedassar.blogspot.com/2010/09/walk-to-design-anti-debug-technique.html?m=1 (пункт номер 1 по этой ссылке). Где-то видел упоминание об этом совсем недавно, но забыл где и смог нагуглить только статью 2010 года.

 

[CheckerChin]

Жалко ScyllaHide обходит)

 

[Apocalypse]

 

[Quake3]

Кстати, пофиксили уже детект на изменения в DR0-DR3?

Хз, надо смотреть. Ты о проверке этих регистров , нет ли там данных о брекпойнтах?

DildoFagins Apocalypse так вопрос в том, почему эти магические числа везде разные? У меня дает такое значение (причем на разных виртуалках ), а у чела с твиттера другое.

 

[DildoFagins]

DildoFagins Apocalypse так вопрос в том, почему эти магические числа везде разные?

Это разные вещи, прочитай внимательно, это константа на конце выделенного на куче фрагмента, это нужно, чтобы проверить, не писал ли код за пределы выделенного блока и вывалить исключение. А у тебя выделенный блок при отладке залит константными значениями.