[HaBo]

sd333221 · 20.12.05, 20:03

Ich hab hier son dummes Programm, das sucht immer
nach meinem Debugger -_-.
Ich habe die Funktion auch schon ungefähr gefunden:

Code:

004165BF  |. 74 0C          JE SHORT lacd_cli.004165CD
004165C1  |. 6A 00          PUSH 0                                   ; /lParam = 0
004165C3  |. 6A 00          PUSH 0                                   ; |wParam = 0
004165C5  |. 6A 12          PUSH 12                                  ; |Message = WM_QUIT
004165C7  |. 56             PUSH ESI                                 ; |hWnd
004165C8  |. E8 C3F6FEFF    CALL <JMP.&user32.PostMessageA>          ; \PostMessageA
004165CD  |> B9 6C664100    MOV ECX,lacd_cli.0041666C   ;  ASCII "Debugger detected"
004165D2  |. B2 01          MOV DL,1
004165D4  |. A1 58604000    MOV EAX,DWORD PTR DS:[406058]
004165D9  |. E8 263EFFFF    CALL lacd_cli.0040A404
004165DE  |. E8 11D1FEFF    CALL lacd_cli.004036F4
004165E3  |. EB 62          JMP SHORT lacd_cli.00416647

Wie komme ich an den teil, wo ich das rauspatchen kann?
Hab bis jetzt nach der Error Meldung gesucht, und rausgefunden,
dass wenn er den Debugger erkannt hat, er in diesen Teil springt.
Ich will die Funktion jezt rauspatchen -_-.
Vielen dank für eure tolle hilfe =)

Lesco · 20.12.05, 20:10

such mal nach IsDebuggerPresent() und poste mal den Code,der vor dem geposteten kommt

Anzeige

- Anzeige -

**CDW** · 20.12.05, 20:11

bei der Meldung ist man meistens schon "zu spät". Setze hier einen BP und schau dann nach, was Du auf dem Stack für Rücksprungadressen hast (wenn es nötig ist: Rechtsklick auf ESP "Follow in Stack" und dann nach untern Scrollen und schauen) - da findet sich oft ein Hinweis, "was" die Meldung aufgerufen hat. So kannst Du Dich der richtigen Routine annähern.

sd333221 · 20.12.05, 20:24

Ok danke ich habs jetzt hingekriegt,
in dem ich nach dem call nach der Funtkion
zum Beenden gesucht hab

Anzeige

- Anzeige -

20.12.05, 20:11	#3 (permalink)
CDW Moderator Registriert seit: 20.07.05 Likes: 202	bei der Meldung ist man meistens schon "zu spät". Setze hier einen BP und schau dann nach, was Du auf dem Stack für Rücksprungadressen hast (wenn es nötig ist: Rechtsklick auf ESP "Follow in Stack" und dann nach untern Scrollen und schauen) - da findet sich oft ein Hinweis, "was" die Meldung aufgerufen hat. So kannst Du Dich der richtigen Routine annähern. __________________ Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf! Selig, wer nichts zu sagen hat und trotzdem schweigt.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Funktion zum prüfen ob Funktion erlaubt ist	Chatter	(Web-) Design und webbasierte Sprachen	5	21.01.07 14:11
ACL umgehen	Headmaster	Windows	5	25.04.06 14:36
Sitebanns umgehen	Goofy	Die Problemzone	36	13.03.06 22:51

20.12.05, 20:10	#2 (permalink)
Lesco Senior Member Registriert seit: 03.09.05 Likes: 0	such mal nach IsDebuggerPresent() und poste mal den Code,der vor dem geposteten kommt

20.12.05, 20:24	#4 (permalink)
sd333221 Themenstarter Registriert seit: 10.11.05 Likes: 0	Ok danke ich habs jetzt hingekriegt, in dem ich nach dem call nach der Funtkion zum Beenden gesucht hab

[HaBo]

Terminate Funktion umgehen...