IsDebuggerPresent et X64dbg

Parlez de tout ce qui n'a pas sa place dans les autres rubriques.

IsDebuggerPresent et X64dbg

Messagepar CoolAlien » 26 Mai 2017, 09:06

Bon comme je l'avais dit précédemment, j'essaie de maîtriser X64dbg.
Outre les Crackmes, je teste aussi sur des petites cibles là j'ai trouvé un petit logiciel d'auto clic pour la souris avec création de macro, une rapide analyse m'a permis de découvrir la présence de "IsDebuggerPresent" l'auteur du logiciel est un petit malin qui ne s'est pas contenté d'en mettre un seul mais il en a mis plusieurs qui plus est semblent interconnectés entre eux. Enfin c'est pas tout à fait ça mon problème, avec Olly il y a deux méthodes soit on traite le problème manuellement en les désactivant un à un, soit on installe un plug-in et je ne me fais plus enquiquiner par IsDebuggerPresent.

Mais comme j'aimerais bien apprendre à utiliser correctement "tout est relatif" X64dbg, j'essaye de traiter ma cible avec ce dernier, j'ai regardé sur leur site apparemment il y a aussi des plug-ins pour rendre Hide X64dbg, mais il semble qu'il y a une option dans les commandes qui permet de cacher la présence du debugger dans des cas simples de protection IsDebuggerPresent semble correspondre à cette description.
Je tape donc la commande telle qu'elle est décrite dans la documentation "HideDebugger/dbh/hide"
Eh là j'ai comme seul réponse "Unknown commandexpression: "HideDebugger/dbh/hide"

J'ai un petit peu regardé sur GlouGlou mais je n'ai pas trouvé d'exemples d'explications complémentaires sur cette commande. Elle doit pourtant exister puisqu'elle est documentée dans le fichier d'aide de X64dbg.

Je me suis alors dit tu t'y prends encore une fois comme un manche, donc si quelqu'un peut m'éclairer sur ce machin et me dire si y a une procédure particulière pour utiliser cette commande.

Je retranscris texto ce qu'il y a dans la doc

" HideDebugger/dbh/hide
Hide the debugger from (very) simple detection methods.

arguments
This command has no arguments.

result
This command does not set any result variables."

De ce que moi j'ai compris il suffit juste de copier "HideDebugger/dbh/hide" et ça doit être bon ? :boulet:
Avatar de l’utilisateur
CoolAlien
Apprenti
Apprenti
 
Messages: 68
Inscription: 16 Août 2016, 19:19

Re: IsDebuggerPresent et X64dbg

Messagepar baboon » 26 Mai 2017, 13:07

Tape juste HideDebugger OU dbh OU hide
Newbie mais ayant soif d'apprendre et étant motivé
Avatar de l’utilisateur
baboon
Modérateur
Modérateur
 
Messages: 3285
Inscription: 08 Juillet 2005, 17:49

Re: IsDebuggerPresent et X64dbg

Messagepar CoolAlien » 26 Mai 2017, 13:36

ça confirme je suis un manche pfffff :lol:
Avatar de l’utilisateur
CoolAlien
Apprenti
Apprenti
 
Messages: 68
Inscription: 16 Août 2016, 19:19

Re: IsDebuggerPresent et X64dbg

Messagepar CoolAlien » 26 Mai 2017, 19:32

Voila, Target is Destroyed :P en 2 min, facile quant faut pas s’occuper de la partie IsDebuggerPresent redondante
Merci Baboon.
Avatar de l’utilisateur
CoolAlien
Apprenti
Apprenti
 
Messages: 68
Inscription: 16 Août 2016, 19:19

Re: IsDebuggerPresent et X64dbg

Messagepar CoolAlien » 27 Mai 2017, 09:07

Je me suis fait la réflexion en trépanant ma cible, c'est parfois dans les vieilles casseroles que l'on fait la meilleure soupe.
j'aurais re sorti mon bon hiew et op en 30 sec c'était torché :P

enfin comme la finalité était d'utiliser X64dbg, la me reste a voir si je parviens a injecter ma modif dans l'installeur d'origine, après ça on supprime le tout et je me cherche une autre cible 8)
Avatar de l’utilisateur
CoolAlien
Apprenti
Apprenti
 
Messages: 68
Inscription: 16 Août 2016, 19:19


Retourner vers Divers

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 3 invités