Terminate Funktion umgehen...

[sd333221]

Ich hab hier son dummes Programm, das sucht immer
nach meinem Debugger -_-.
Ich habe die Funktion auch schon ungefähr gefunden:

004165BF  |. 74 0C          JE SHORT lacd_cli.004165CD
004165C1  |. 6A 00          PUSH 0                                   ; /lParam = 0
004165C3  |. 6A 00          PUSH 0                                   ; |wParam = 0
004165C5  |. 6A 12          PUSH 12                                  ; |Message = WM_QUIT
004165C7  |. 56             PUSH ESI                                 ; |hWnd
004165C8  |. E8 C3F6FEFF    CALL <JMP.&user32.PostMessageA>          ; \PostMessageA
004165CD  |> B9 6C664100    MOV ECX,lacd_cli.0041666C   ;  ASCII "Debugger detected"
004165D2  |. B2 01          MOV DL,1
004165D4  |. A1 58604000    MOV EAX,DWORD PTR DS:[406058]
004165D9  |. E8 263EFFFF    CALL lacd_cli.0040A404
004165DE  |. E8 11D1FEFF    CALL lacd_cli.004036F4
004165E3  |. EB 62          JMP SHORT lacd_cli.00416647

Wie komme ich an den teil, wo ich das rauspatchen kann?
Hab bis jetzt nach der Error Meldung gesucht, und rausgefunden,
dass wenn er den Debugger erkannt hat, er in diesen Teil springt.
Ich will die Funktion jezt rauspatchen -_-.
Vielen dank für eure tolle hilfe =)

 

[Lesco]

such mal nach IsDebuggerPresent() und poste mal den Code,der vor dem geposteten kommt

 

[CDW]

bei der Meldung ist man meistens schon "zu spät". Setze hier einen BP und schau dann nach, was Du auf dem Stack für Rücksprungadressen hast (wenn es nötig ist: Rechtsklick auf ESP "Follow in Stack" und dann nach untern Scrollen und schauen) - da findet sich oft ein Hinweis, "was" die Meldung aufgerufen hat. So kannst Du Dich der richtigen Routine annähern.

 

[sd333221]

Ok danke ich habs jetzt hingekriegt,
in dem ich nach dem call nach der Funtkion
zum Beenden gesucht hab