Кто-нить подскажите, icedump сейчас прячет Айс от Армадилло
под win98, если нет, то тогда какой именно трюк по обнаружению
Айса под icedump у Армы прокатывает??

P.S. Ура! Ура! Наши едут "на Европу"!

Поиск по форуму. OpenService

Ну рассказывай что знаешь по этому вопросу, что мона сделать,
могыть бряк на неё ставить или системные dll патчить, что там
Sten в iceext сделал, хучить как-нить, сорцы то icedump'а доступны
и кажется они на nasm'е, можно наверно подправить ;-)

Asterix
isdebuggerpresent или как там эту злополучную апи? Лечится элементарно, если верить туториалам Р. Нарвахи. Хотя там основной фокус кроется не в обнаружении отладчика...

ЗЫ: А про что это ты в P.S. написал?

Quantum

Э, нет, это другое! OpenService!
Код против isdebuggerpresent давно есть в icedump.

P.S. p.s. :-) был про то что наша сборная(Россия) по футболу выиграла у Уэльса
и поедет на чемпионат Европы! :-)

Ну в принципе на bpx (OpenService+нЕчто);-) оно брякается, но блин
прога у меня не удобная для исследования, отмеряет количество
запусков.

Зы: дампер сделал, но пока только под NT+

P.S. p.s. :-) был про то что наша сборная(Россия) по футболу выиграла у Уэльса
и поедет на чемпионат Европы! :-)
Елы палы, а когда матч был то????

Что-то около 22-00 по Москве.

[offtopic]
DeMoNiX
ЕДЕМ!!!
[/offtopic]

Asterix

Брат, да я балдею. КТО-НИБУДЬ ИЗ ВАС ВСЕХ мою несчастную статью прочитал?

Quantum
IsDebuggerPresent проверяет поле Teb.PPEB.BeingDebugged и я не верю, что ты этого не знаешь. Защититься от этого элементарно, занулив это поле. Это знает каждый второй, не считая каждого первого! Но меньше народу знает, что существует еще пара десятков спобосов узнать, что тебя мучает отладчик Windows - см. третью статью, мож хоть кто-то прочтет.

Asterix
Родной, а вопрос ведь на форуме поднимался, а тебе даже лень посмотреть. Айс - это драйвер. Как приложение может узнать - а загружен ли драйвер? Достаточно просто - OpenService, где вторым параметром идет имя файла. Что можно сделать? Перехватить функцию, например, через SDT, на уровне кольца-0, и каждый раз смотреть - а не Soft-Ice ли она ищет. Ах, софт-айс, ну тогда обмануть ее нахрен. СМОТРИ КОДА ICE EXT! Лентяй!!!!!

volodya
IsDebuggerPresent проверяет поле Teb.PPEB.BeingDebugged и я не верю, что ты этого не знаешь.
Конечно знаю! Разве я что-то про это спрашивал? Просто Asterix спросил про антиотладочные приёмы армадиллы, а isdebuggerpresent как раз к таковым относится. Другое дело, что арма на этом не останавливается, как впрочем и на OpenService, так? :-)

Честно отвечу, что пока не знаю. Надо поглядеть :)

volodya
Ах, так ты ещё и не читал мои труды? Значит можно не спешить с дальнейшим переводом? - Шутка :-)))

Quantum

Гы, там этих приёмов не менее десятка :-)

Но IsDebuggerPresent не явилось для меня откровением, т.к. я сам
налобал пару-тройку примеров по обнаружению отладчиков(по статьям),
тем более IsDebuggerPresent не катит с SoftIce.
Что касательно OpenService, стоп! только что глянул справку, нет такой
функции под 9x!
Когда я говорил что тряпается то имел ввиду XP.

Asterix
Гы, там этих приёмов не менее десятка :-)
А я насчитал только 2-3 :-)

тем более IsDebuggerPresent не катит с SoftIce
Точно. "Что-то с памятью моей..." (с) by не помню.

Что касательно OpenService, стоп! только что глянул справку, нет такой
функции под 9x!
Так это ж хорошо! Одним трюком меньше под 9х.