En fs:[0x18] hay un puntero a la estructura TEB (Thread Environment Block), cuyo campo ProcessEnvironmentBlock (puntero a PEB esta en el offset 0x30). A su vez el campo BeingDebugged (un BYTE) esta en el offset 2 de la estructura PEB. Cuando el proceso este siendo depurado eax sera 1 

0:000> dt _TEB
   +0x000 NtTib            : _NT_TIB
   +0x01c EnvironmentPointer : Ptr32 Void
   +0x020 ClientId         : _CLIENT_ID
   +0x028 ActiveRpcHandle  : Ptr32 Void
   +0x02c ThreadLocalStoragePointer : Ptr32 Void
   +0x030 ProcessEnvironmentBlock : Ptr32 _PEB
   +0x034 LastErrorValue   : Uint4B
... sigue

0:000> dt _peb
ntdll!_PEB
   +0x000 InheritedAddressSpace : UChar
   +0x001 ReadImageFileExecOptions : UChar
   +0x002 BeingDebugged    : UChar
   +0x003 SpareBool        : UChar
   +0x004 Mutant           : Ptr32 Void
   +0x008 ImageBaseAddress : Ptr32 Void
   +0x00c Ldr              : Ptr32 _PEB_LDR_DATA
   +0x010 ProcessParameters : Ptr32 _RTL_USER_PROCESS_PARAMETERS
... sigue

PD. Estas estructuras las podes ver con el comando dt del WinDbg por ejemplo.

Y si ... ya lo menciona el mismo en el primer mensaje pero no parece querer hacerlo de esa manera ... sino MSDN.

En ese caso yo haria esto:

A. Aprovechando el formato PE exportaria la variable como un puntero (nulo o a un valor que quieras, tipo 0xFF00FF00 o 0xDEADDEAD) a caracter y compilaria el programa normalmente.

B. Crearia otro programa que haga los siguiente pasos a grandes rasgos:

1. Abre el ejecutable generado
2. Guarda el EOF en una variable
3. Escribe el script desde el final del archivo existente (y guarda el nuevo EOF si queres agregar mas cosas despues)
5. Abre el ejecutable pero ahora mappeado en memoria
6. Busca la variable exportada, la localiza en memoria y cambia el puntero al antiguo EOF

Se necesitaria codigo para manejar el PE con lo cual seria una solucion mas costosa de implementar pero me parece que quedaria muy limpia, generica y facil de extender: queres agregar otra cosa, simplemente exportas otra variable.

PD. No esta paso por paso, tenes que cerrar el archivo antes de mappearlo, etc.

El problema es que seguramente eso esta en una sección de datos, y tras esa cadena hay otros datos que jodes al sobreescribirlos, no entiendo exactamente que es lo que queres hacer pero tal vez una solucion sea declarar la variable con un tamaño mayor al "real" (asumiendo que el ejecutable lo generaste vos), por ejemplo:

Para que no sea vea la consola usas justamente GUI (subsystem=WINDOWS). Mira en enlace que deje o http://flatassembler.net ahi vas a encontrar todo lo que necesites sobre este ensamblador en particular.

Es algo especifico de FASM:
http://flatassembler.net/docs.php?article=manual#2.4

Una cosa es que me contradigan, el hilo donde se discutio el tema en cuestion (bucles en C/C++) contiene los mensajes donde thedoctor77 me contradijo sin ninguna edicion (salvo uno que originalmente creo en un nuevo hilo, al yo haber dado por terminado el tema, donde habia copiado todo un mensaje mio sin citarlo correctamente), y otra que sin venir a cuento en un hilo distinto donde yo no participe que se burle sin ninguna necesidad.
Ademas de estar totalmente convencido de tener la razon el punto principal es irrelevante si a mi me gusta que me contradigan o no, cualquiera que me venga leyendo desde que entre al foro sabe que es falso, si fuera cierto directamente hubiera borrado lo que yo considero una opinion totalmente obtusa mas no lo hice sino que indique cuales eran mis argumentos. Ahora no hay argumento que indicar, el tema esta cerrado, ya cada uno expuso su opinion y traerlo nuevamente con una burla es un acto muy bajo.


No guarda relacion lo que mencionas, son casos diametralmente opuestos.


Supongo que para algo esta un Moderador pero me parece que estamos (o estoy ya que thedoctor77 no ha vuelto despues de su berrinche) hablando de este caso. Pero si es la opinion general ya sabra el-brujo tomar las medidas correspondientes.


No se a quien le dijiste esto 

Eso es MENTIRA, tu mensaje que innecesariamente me mencionaba burlonamente solo fue modificado en ese apartado, el resto sigue ahi mismo. Podria haberlo borrado ya que sos un irrespetuoso que intenta generar conflicto en un hilo en el que yo no participe. Asi como te gusta jugar a mi tambien, ahora lo que dijiste se transformo en blablabla. ¿No te gusto? Lo lamento, parece que solo tenes sentido del humor para burlarte ...

Mira, aunque tengas el ego mas grande del mundo y te creas que sabes mas que gente que si tiene experiencia en esto en lugar de ser un imberbe que jamas salio de la escuela, me da lo mismo, ese tema esta cerrado, cada uno expuso su punto de vista y punto, que lo continues trayendo al foro es lo que genera que yo edite tu mensaje: ESTA FUERA DE LUGAR.


Otra vez es mentira, no se modifican tus mensajes, otra cosa es que si decis cosas fueras de lugar se modifiquen o directamente se BORREN.

Estaria bueno tenerlo ...

Esta bien, era lo que me imaginaba, sigue siendo un depurador de Modo Usuario. Yo me quedo con WinDbg que es una (pobre) interfaz grafica pero sirve para depurar en ambos modos