Salut,
styck007 a écrit:le call à noper est en 3D6C
Dac, apparemment c'est un stub fixe.
Donc effectivement non pas nopper le call en 403d6a mais mettre son retour en 0x403D6C à zéro fonctionne.
Pour le faire prorement comme dans l'autre il faudrait nopper le call en 402f2b (offset 0x2f2b, 5x 0x90).
styck007 a écrit:sans oublier qu'avec phantOm sur olly , il y a rien besoin de faire , çà passe à l'as , le but étant je le rappelle de tester mes propres anti-debug et de les disséminer à plusieurs endroits.
Et oui justement, mais pour tester les tiens il faut tourner sans phantom.
J'aime cette approche inverse du reverse (l'anti), donc c'est important aussi de laisser ça propre pour la postérité.
styck007 a écrit:merci de ton aide dionosis
De rien.
styck007 a écrit:a ce propos on peut mettre des breakpoints dans l'exécutable sans que çà pete ou on travaille dans la vm ?
Dans la section code tu peux y aller, pour le reste ça devient plus délicat : dans les handlers de la vm tu peux, mais je ne saurais pas te dire s'il sont en dur dans la section code, ou bien écrits à la volée dans de la mémoire allouée pour l'occasion. Au feeling je dirais qu'ils se trouvent simplement dans les dll loadées (principalement WDxxxVM.dll par exemple) parce que les exports sont on ne peut plus explicites...

Comme ton code est du pseudo code, il faudra soit que tu places des BPs sur celles-ci, soit tout simplement que tu fasses des tests en affichant le résultat dans ton programme (dans un champ texte ou bien suite à la pression d'un bouton par exemple).
++