Выполнение функции после обнаружения отладчика

Issues related to VMProtect
Post Reply
Nalik
Posts: 58
Joined: Mon Jan 20, 2020 8:01 pm

Выполнение функции после обнаружения отладчика

Post by Nalik »

Возможно ли при настройке в опциях отладчика "User-mode + Kernel-mode" позволить выполнить 1 функцию в своем коде?
Admin
Site Admin
Posts: 2566
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: Выполнение функции после обнаружения отладчика

Post by Admin »

Вместо опции "Обнаружение отладчика" использовать VMProtectIsDebuggerPresent внутри своего кода.
Nalik
Posts: 58
Joined: Mon Jan 20, 2020 8:01 pm

Re: Выполнение функции после обнаружения отладчика

Post by Nalik »

Admin wrote:Вместо опции "Обнаружение отладчика" использовать VMProtectIsDebuggerPresent внутри своего кода.
Да мне об этом известно, но не безопаснее ли использовать встроенное обнаружение отладчика, вместо команды VMProtectIsDebuggerPresent?

Когда в настройках VMP я ставлю обнаружение отладчика дебагер dnspy даже не запускается, а вот если использовать VMProtectIsDebuggerPresent, то запускается пока не дойдет до проверки. При этом VMProtectIsDebuggerPresent можно вырезать просто сменив точку входа.
Admin
Site Admin
Posts: 2566
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: Выполнение функции после обнаружения отладчика

Post by Admin »

Да мне об этом известно, но не безопаснее ли использовать встроенное обнаружение отладчика, вместо команды VMProtectIsDebuggerPresent?
Если у вас задача состоит в том, чтобы сделать свое действие на обнаружение отладчика, то других вариантов просто нет.
При этом VMProtectIsDebuggerPresent можно вырезать просто сменив точку входа.
Если вызывать VMProtectIsDebuggerPresent из завиртуализированного кода, то вырезать будет нечего :))
Post Reply