Завершить DebugActiveProcess или другие процедуры отладки
Я хочу оставить это больше как мысленный эксперимент (я спрашивал об этом в чате, но меня направили сюда). Но я могу предоставить код, если это будет полезно. Вот сценарий!
Процесс 1 работает и постоянно отлаживает Процесс 2, я ввел DLL в Процесс 2 и отключил одну из функций Windows, на которую он опирается, чтобы я мог выполнить свой собственный код. Есть ли способ из Процесса 2, чтобы я мог предотвратить продолжение Отладки Процесса 1 для Процесса 2?
Решение
Я не знаю, что вы подразумеваете под «предотвращением отладки».
Вы можете избежать debbuger для получения любого события, связанного с вашим процессом, используя NtSetInformationThread
push 0
push 0
push 11h ;ThreadHideFromDebugger
push -2 ;GetCurrentThread() // you can use it on every thread
call NtSetInformationThread
Ссылка:
Питер Ферри анти-отладочные трюки
http://pferrie.host22.com/papers/antidebug.pdf
Другие решения
Других решений пока нет …
detector