• XSS.stack #1 – первый литературный журнал от юзеров форума

dbgeng.dll дизасм длин

Отслеживать
arsarsov

arsarsov

(L2) cache
Пользователь
Регистрация
07.08.2022
Сообщения
460
Реакции
272
В общем методом v`тыка удалось мне добиться того, что бы данный код находил длину инструкции по заданному адресу
Собсна сам вопрос - можно ли dbgeng заставть делать то же самое, только не аттача дебаг к своему процессу и не начиная сессию отладки ?
C++: 
    HRESULT a = DebugCreate(__uuidof(IDebugClient), (void**)&clt);

    a = clt->AttachProcess(NULL, GetProcessId(GetCurrentProcess()), DEBUG_ATTACH_NONINVASIVE | DEBUG_ATTACH_NONINVASIVE_NO_SUSPEND);

    a = clt->QueryInterface(__uuidof(IDebugControl), (void**)&ctrl);

    a = ctrl->WaitForEvent(DEBUG_WAIT_DEFAULT, -1);

    ULONG64 newOffset = 0;

    ULONG64 addr = (ULONG64)GetProcAddress(LoadLibraryA("ntdll.dll"), "NtClose");

    a = ctrl->GetNearInstruction(addr, 1, &newOffset);

    int instr_len = newOffset - addr;
 
Сортировать по дате Сортировать по голосам
Пожалуйста, обратите внимание, что пользователь заблокирован
arsarsov сказал(а):
Собсна сам вопрос - можно ли dbgeng заставть делать то же самое, только не аттача дебаг к своему процессу и не начиная сессию отладки ?
Скорее всего нет, но с другой стороны, а что за проблема с аттачем к себе? Это не особо накладно, я так делал в статье про анализ хуков антивирусов, и в процессе тестирования не заметил, что процесс под этим как-то замедляется, да и негативной реакции аверов на это не было, хоть я и запускал билд проекта на порядка 20-30 разных антивирусов суммарно с тех пор, как запилил этот проект.
 
За 0 Против
DildoFagins сказал(а):
Скорее всего нет, но с другой стороны, а что за проблема с аттачем к себе? Это не особо накладно, я так делал в статье про анализ хуков антивирусов, и в процессе тестирования не заметил, что процесс под этим как-то замедляется, да и негативной реакции аверов на это не было, хоть я и запускал билд проекта на порядка 20-30 разных антивирусов суммарно с тех пор, как запилил этот проект.
Да, возможно эффектов не будет никаких, стремление уйти от этого просто эстетическое
 
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
arsarsov сказал(а):
можно ли dbgeng заставть делать то же самое, только не аттача дебаг к своему процессу и не начиная сессию отладки ?
Я не нашел такого варианта, хотя копал эту либу долго. Врядли это возможно.

DildoFagins сказал(а):
а что за проблема с аттачем к себе?
Не работает на ХР.
 
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
Да я серьезно, что из минусов только вот такой есть. Когда-то думал юзать это дело как анти-отладку , но почему-то отладчик никак не реагирует на то, что я уже сам к себе приаттачился.
 
За 0 Против
Quake3 сказал(а):
Да я серьезно, что из минусов только вот такой есть. Когда-то думал юзать это дело как анти-отладку , но почему-то отладчик никак не реагирует на то, что я уже сам к себе приаттачился.
Возможно либа аттачится "по-особому"
Если вручную приаттачиться к себе, тогда это сработает
 
За 0 Против
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх