|
| Посл.отвђт | Сообщенiе |
|
|
Дата: Ноя 6, 2003 16:00:47 · Поправил: merlin Привет всемогушему @all! Недавно наткнулса на такую штучку fs:[30]. Но так и не смог с ней разобратса. Насколько я понял это трик против дебагеров. Может кто то знает что нибудь про етот анти дебагерский трик. Спасибо. |
|
|
Дата: Ноя 6, 2003 17:40:11 merlin Читай мою статью. Все там написано. fs:[30] - это еще не трюк, это, всего лишь, доступ к PEB. Трюк будет чуть-чуть позже, при доступе к PEB.BeingDebugged. Читай статью. |
|
|
Дата: Ноя 6, 2003 20:06:25 · Поправил: merlin А где эту статью найти. А то в анти-дебагерском отделе я её не нашол.Там другая статья про fs:[20]. |
|
|
Дата: Ноя 6, 2003 22:27:15 На заглавной странице сайта - Об упаковщиках в последний раз. Часть вторая ;) |
|
|
Дата: Ноя 6, 2003 23:55:33 Ого статья! Давненько я такого хорошего материала не читал! Спасибо за помощ! |
|
|
Дата: Дек 17, 2003 01:07:47 Это защита от дебагера это проверка в проге о том что fs указывает на PSP, а далее мы должны сравнить указатели сегментов и делается вывод о том что прога дебагается вот примерный код ..... mov ah,9 int 21h ;вызов функции вывода строки ..... mov ax,ss ;сравнение стековых сегментов cmp ax,fs:[30] ;предполагаем что ES указывает на PSP jne tracing ;сегменты не равны -- работа под отладчиком ! .... tracing: .... ;реакция на трассировку |