elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Entrar al Canal Oficial Telegram de elhacker.net


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  Saltarse truco antidebug de Windows 10
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Saltarse truco antidebug de Windows 10  (Leído 4,341 veces)
aguml


Desconectado Desconectado

Mensajes: 378



Ver Perfil
Saltarse truco antidebug de Windows 10
« en: 30 Mayo 2020, 12:14 pm »

Hola amigos, uno de los trucos que quiero implementarlo en mi clase para crear loader debuggers es saltarse la protección antidebugger para Windows 10 basada en RaiseException para provocar evento OutputDebugEvent. Lo que hace es que si no hay debugger no se envía el mensaje y da una excepción que la aplicación controla y si hay debugger no se produce excepción y por ahí nos pilla. Os pongo un código de ejemplo:
Código:
void __stdcall _OutputDebugStringW(LPCWSTR lpOutputString)
{
        char outputDebugStringBuffer[1000] = {0};
        WideCharToMultiByte(CP_ACP, 0, lpOutputString, -1, outputDebugStringBuffer, sizeof(outputDebugStringBuffer), 0, 0);

        ULONG_PTR args[4];

        //unicode
        args[0] = (ULONG_PTR)wcslen(lpOutputString) + 1;
        args[1] = (ULONG_PTR)lpOutputString;

        //ansi for compatibility
        args[2] = (ULONG_PTR)wcslen(lpOutputString) + 1;
        args[3] = (ULONG_PTR)outputDebugStringBuffer;

        __try
        {
                RaiseException(0x4001000A, 0, 4, args);//DBG_PRINTEXCEPTION_WIDE_C
                ShowMessageBox("DBG_PRINTEXCEPTION_WIDE_C -> Debugger detected");
        }
        __except(EXCEPTION_EXECUTE_HANDLER)
        {
                ShowMessageBox("DBG_PRINTEXCEPTION_WIDE_C -> Debugger NOT detected");
        }
}
La cosa es ¿Como puedo implementar un truco para saltarse esa protección? Se me ocurrió poner un bp en esa api y estando en ese bp devolverle EXCEPTION_EXECUTE_HANDLER ¿Alguna sugerencia?
En línea

aguml


Desconectado Desconectado

Mensajes: 378



Ver Perfil
Re: Saltarse truco antidebug de Windows 10
« Respuesta #1 en: 31 Mayo 2020, 14:47 pm »

Creo que he conseguido solucionarlo. Cuando lo confirme mañana lo explico. Me ayudaron en el grupo de Telegram de x64dbg donde me orientaron por dónde debía entrarle.
En línea

karmany
Moderador
***
Desconectado Desconectado

Mensajes: 1.615


Sueñas que sueñas


Ver Perfil WWW
Re: Saltarse truco antidebug de Windows 10
« Respuesta #2 en: 1 Junio 2020, 12:26 pm »

Te acabo de leer ahora.
Es muy interesante, cuando lo tengas postéalo si no te importa.
Muchas gracias.
En línea

aguml


Desconectado Desconectado

Mensajes: 378



Ver Perfil
Re: Saltarse truco antidebug de Windows 10
« Respuesta #3 en: 2 Junio 2020, 19:41 pm »

Pues si lo solucioné. La cosa es que yo me mareaba intentando atacar a la función RaiseException que es la que usan para el truco antidebug y que lo usan para enviar un mensaje al debugger. Si hay debugger no da ninguna excepción porque el debugger la gestiona y por ahí es por dónde te pilla ya que precisamente el chico bueno lo tiene en un seh. La cosa es que no hay que hacer nada a RaiseException, simplemente puse un condicional en donde gestiono OutputDebugString y si tengo activado el truco para evitar ese antidebug devuelvo DBG_EXCEPTION_NOT_HANDLED y listo, ya con eso ni se entera y entra en su manejador y ya no me pilla 😬
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Saltarse el Firewall de Windows
Programación Visual Basic
JanditoOo 5 3,445 Último mensaje 6 Septiembre 2006, 03:33 am
por JanditoOo
Saltarse el firewall de windows xp sp2
Programación Visual Basic
Littl3 1 1,997 Último mensaje 27 Mayo 2008, 20:29 pm
por ~~
saltarse UAC Windows Vista
Programación Visual Basic
exodo999 2 4,286 Último mensaje 13 Noviembre 2009, 05:25 am
por exodo999
Truco Windows: reiniciar aplicaciones en Windows 8 con solo un gesto
Noticias
wolfbcn 0 1,330 Último mensaje 1 Noviembre 2014, 12:58 pm
por wolfbcn
YTS permite saltarse el bloqueo para descargar torrent con un truco
Noticias
El_Andaluz 0 2,601 Último mensaje 29 Mayo 2020, 15:02 pm
por El_Andaluz
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines