elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado:


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  Saltarse truco antidebug de Windows 10
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Saltarse truco antidebug de Windows 10  (Leído 850 veces)
aguml


Desconectado Desconectado

Mensajes: 377



Ver Perfil
Saltarse truco antidebug de Windows 10
« en: 30 Mayo 2020, 12:14 »

Hola amigos, uno de los trucos que quiero implementarlo en mi clase para crear loader debuggers es saltarse la protección antidebugger para Windows 10 basada en RaiseException para provocar evento OutputDebugEvent. Lo que hace es que si no hay debugger no se envía el mensaje y da una excepción que la aplicación controla y si hay debugger no se produce excepción y por ahí nos pilla. Os pongo un código de ejemplo:
Código:
void __stdcall _OutputDebugStringW(LPCWSTR lpOutputString)
{
        char outputDebugStringBuffer[1000] = {0};
        WideCharToMultiByte(CP_ACP, 0, lpOutputString, -1, outputDebugStringBuffer, sizeof(outputDebugStringBuffer), 0, 0);

        ULONG_PTR args[4];

        //unicode
        args[0] = (ULONG_PTR)wcslen(lpOutputString) + 1;
        args[1] = (ULONG_PTR)lpOutputString;

        //ansi for compatibility
        args[2] = (ULONG_PTR)wcslen(lpOutputString) + 1;
        args[3] = (ULONG_PTR)outputDebugStringBuffer;

        __try
        {
                RaiseException(0x4001000A, 0, 4, args);//DBG_PRINTEXCEPTION_WIDE_C
                ShowMessageBox("DBG_PRINTEXCEPTION_WIDE_C -> Debugger detected");
        }
        __except(EXCEPTION_EXECUTE_HANDLER)
        {
                ShowMessageBox("DBG_PRINTEXCEPTION_WIDE_C -> Debugger NOT detected");
        }
}
La cosa es ¿Como puedo implementar un truco para saltarse esa protección? Se me ocurrió poner un bp en esa api y estando en ese bp devolverle EXCEPTION_EXECUTE_HANDLER ¿Alguna sugerencia?
En línea

aguml


Desconectado Desconectado

Mensajes: 377



Ver Perfil
Re: Saltarse truco antidebug de Windows 10
« Respuesta #1 en: 31 Mayo 2020, 14:47 »

Creo que he conseguido solucionarlo. Cuando lo confirme mañana lo explico. Me ayudaron en el grupo de Telegram de x64dbg donde me orientaron por dónde debía entrarle.
En línea

karmany
Moderador
***
Desconectado Desconectado

Mensajes: 1.597


Sueñas que sueñas


Ver Perfil WWW
Re: Saltarse truco antidebug de Windows 10
« Respuesta #2 en: 1 Junio 2020, 12:26 »

Te acabo de leer ahora.
Es muy interesante, cuando lo tengas postéalo si no te importa.
Muchas gracias.
En línea

aguml


Desconectado Desconectado

Mensajes: 377



Ver Perfil
Re: Saltarse truco antidebug de Windows 10
« Respuesta #3 en: 2 Junio 2020, 19:41 »

Pues si lo solucioné. La cosa es que yo me mareaba intentando atacar a la función RaiseException que es la que usan para el truco antidebug y que lo usan para enviar un mensaje al debugger. Si hay debugger no da ninguna excepción porque el debugger la gestiona y por ahí es por dónde te pilla ya que precisamente el chico bueno lo tiene en un seh. La cosa es que no hay que hacer nada a RaiseException, simplemente puse un condicional en donde gestiono OutputDebugString y si tengo activado el truco para evitar ese antidebug devuelvo DBG_EXCEPTION_NOT_HANDLED y listo, ya con eso ni se entera y entra en su manejador y ya no me pilla 😬
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
saltarse UAC Windows Vista
Programación Visual Basic
exodo999 2 3,537 Último mensaje 13 Noviembre 2009, 05:25
por exodo999
Saltarse arranque en Windows 7
Windows
kkrapul 4 3,602 Último mensaje 8 Diciembre 2010, 23:36
por Randomize
Truco Windows: reiniciar aplicaciones en Windows 8 con solo un gesto
Noticias
wolfbcn 0 548 Último mensaje 1 Noviembre 2014, 12:58
por wolfbcn
Saltarse protección usb Windows 8
Windows
espantaburros 0 710 Último mensaje 22 Octubre 2015, 22:20
por espantaburros
YTS permite saltarse el bloqueo para descargar torrent con un truco
Noticias
El_Andaluz 0 258 Último mensaje 29 Mayo 2020, 15:02
por El_Andaluz
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines