Imprimir Página - [SRC] IsDbgCrss - Funcion para saber si estamos siendo 'debuggeados'

Título: [SRC] IsDbgCrss - Funcion para saber si estamos siendo 'debuggeados'
Publicado por: Karcrack en 30 Diciembre 2008, 19:03 pm

Bueno, esta es una pequeña funcion que he hecho para detectar si estas siendo Debuggeado (o como se escriba :xD)

Esta funcion se basa en que, con privilegios normales nuestra aplicacion no puede abrir procesos de system (csrss.exe) y por lo visto el OllyDbg tiene privilegios suficientes para que podamos abrir el proceso...

Aqui va el code:

Código

Option Explicit
 
'IsDbgCrss
Private Declare Function CsrGetProcessId Lib "ntdll.dll" () As Long
Private Declare Function OpenProcess Lib "kernel32.dll" (ByVal dwDesiredAccess As Long, ByVal bInheritHandle As Long, ByVal dwProcessId As Long) As Long
 
'---------------------------------------------------------------------------------------
' Procedure : IsDbgCsrss
' Author    : Karcrack
' Date      : 30/12/2008
' Purpose   : Check if our app is being debugged
' Usage     : If IsDbgCrss = True Then MsgBox "I'm Debugged"
' Tested On : OllyDbg v2.0 ß
' Reference : http://www.piotrbania.com/all/articles/antid.txt
'---------------------------------------------------------------------------------------
'
Public Function IsDbgCsrss() As Boolean
    IsDbgCsrss = CBool(OpenProcess(&H1F0FFF, 0, CsrGetProcessId)) '&H1F0FFF = PROCESS_ALL_ACCESS
End Function

Solo lo he probado con el OllyDbg v2.0 ß... si alguien lo prueba con otro Debugger que avise ;)

Cabe destacar que para este codigo se necesitan privilegios de Admin... pero bueno, para ejecutar el OllyDbg en su total magnitud tambien :P

Saludos ;D

Título: Re: [SRC] IsDbgCrss - Funcion para saber si estamos siendo 'debuggeados'
Publicado por: cobein en 30 Diciembre 2008, 20:35 pm

Con Olly anda bien, con el de C++ nada :/

Título: Re: [SRC] IsDbgCrss - Funcion para saber si estamos siendo 'debuggeados'
Publicado por: Karcrack en 30 Diciembre 2008, 22:42 pm

Cita de: cobein en 30 Diciembre 2008, 20:35 pm

Con Olly anda bien, con el de C++ nada :/

Ya decia yo... porque con el OllyDbg viejo (1.0) no me funcionaba.
Por lo visto patinaron al sacar la nueva version, con los privilegios... :laugh:

Saludos ;D

Título: Re: [SRC] IsDbgCrss - Funcion para saber si estamos siendo 'debuggeados'
Publicado por: Spider-Net en 31 Diciembre 2008, 12:55 pm

Hay un plugin del OllyDbg cuyo nombre no recuerdo que se salta todas estas protecciones. Yo la probé y funcionaba xD

Título: Re: [SRC] IsDbgCrss - Funcion para saber si estamos siendo 'debuggeados'
Publicado por: Karcrack en 31 Diciembre 2008, 13:23 pm

Cita de: Spider-Net en 31 Diciembre 2008, 12:55 pm

Hay un plugin del OllyDbg cuyo nombre no recuerdo que se salta todas estas protecciones. Yo la probé y funcionaba xD

Quieres decir que la funcion funcionaba con el Plugin magico ese :rolleyes: :laugh: :xD

Entonces perfecto ;D

Merry Crysis And Happy New Year :D

Título: Re: [SRC] IsDbgCrss - Funcion para saber si estamos siendo 'debuggeados'
Publicado por: Spider-Net en 31 Diciembre 2008, 13:28 pm

No, lo que quería decir es que el plugin se saltaba correctamente todas las protecciones que encontré :xD

Saludos

Título: Re: [SRC] IsDbgCrss - Funcion para saber si estamos siendo 'debuggeados'
Publicado por: Karcrack en 31 Diciembre 2008, 15:20 pm

Cita de: Spider-Net en 31 Diciembre 2008, 13:28 pm

No, lo que quería decir es que el plugin se saltaba correctamente todas las protecciones que encontré :xD

Saludos

Ah! :xD... me habias ilusionado :-( :xD... a ver si recuerdas el nombre, y busco como saltarme ese madilto plugin >:( ;D

Saludos ;D

Título: Re: [SRC] IsDbgCrss - Funcion para saber si estamos siendo 'debuggeados'
Publicado por: krackwar en 1 Enero 2009, 09:19 am

Te la traduci a asm :xD

http://foro.elhacker.net/programacion_general/src_isdbgcrss_funcion_para_saber_si_estamos_siendo_debuggeados-t240264.0.html;msg1150643#new

Foro de elhacker.net

Programación => Programación Visual Basic => Mensaje iniciado por: Karcrack en 30 Diciembre 2008, 19:03 pm