Page 2 sur 2

Re: Anti-debug

MessagePosté: 21 Mars 2017, 23:02
par Martinooooo
Les instructions VM WinDev compilées se trouvent dans une section RWE hors exécutable.
Si tu souhaites vraiment attendre qu'une VM soit atteinte, tu fais un clic droit sur la section .text de cette dll et il y a un "break" possible sur toute la section.

Re: Anti-debug

MessagePosté: 22 Mars 2017, 01:07
par jean02
merci Martinooooo pour ces infos , effectivement ,j'ai remarqué ceci.
Aurais-tu une idée sur la façon de suivre mon saut de windev à ma dll en c++ avec olly ? , je ne vois pas cette dll dans les view , enfin est-ce possible ?
la dll doit se voir automatiquement dans les view ou elle disparait une fois déchargé ?

Re: Anti-debug

MessagePosté: 22 Mars 2017, 10:08
par dionosis
Salut,

Si effectivement elle est déchargée alors après ce moment tu ne la verras plus dans la vue spécifique.

Mais, l'Os signale au debugger tous les chargements et déchargements de dll via deux exceptions spécifiques.
Tu peux lui demander (pour Olly 1 que tu utilises) de breaker quand elles sont reçues via [Options] > [Debugging options] > [Event] : "Break on new module (DLL)" / "Break on module (DLL) unloading".

Puisqu'on sait qu'elles sont chargées dynamiquement au runtime et que tu soupçonnes qu'elles soient ensuite déchargées dynamiquement, il te faudra te situer entre ces deux évennements pour aller fouiller dedans.

++

Re: Anti-debug

MessagePosté: 26 Mars 2017, 23:38
par jean02
Bonsoir,
alors , en faites , c'est un bug de olly , il faut faire View => Exécutable modules et actualiser
il ne faut pas passer par la fenêtre du désassembler => view
bizarre mais bon
pour [Options] > [Debugging options] > [Event] : "Break on new module (DLL)" / "Break on module (DLL) unloading".
ça fonctionne impeccable , merci