anti-debug using job objects

تقييم الموضوع :

0 أصوات - بمعدل 0
1
2
3
4
5

ادوات الموضوع

anti-debug using job objects

siddigss غير متصل

.: عضو مثابر :.

المشاركات : 67
المواضيع : 3
الإنتساب : Oct 2019
السمعة : 15

الإعجاب المعطى : 70
الإعجاب المحصل : 120

26-03-2021, 12:17 PM (آخر تعديل لهذه المشاركة : 26-03-2021, 12:24 PM بواسطة siddigss.)

حقا طريقة جميلة.
وبالطبع يمكننا تفاديها بالوقوف عند دالة NtSetInformationJobObject والتعديل على المدخل أو بالأحرى ما يؤشر إليه المؤشر (pointer).
في المثال المرفق (32 بت) بتعديل البايت رقم 0x26A من 01 إلى 00 (وهي جزء من قيمة limits.BasicLimitInformation.LimitFlags) يمكننا تفادي هذه الطريقة.

I am homesick for a place I have not even visited
مَا ابْيَضَّ وجهٌ باكتساب كريمةٍ ... حتى يسوِّدهُ شُحوب المَطلبِ

الموقع البحث

أعضاء أعجبوا بهذه المشاركة : rce3033 , TeRcO , Cyperior , vosiyons

« السابق | التالي »

الردود في هذا الموضوع

anti-debug using job objects - بواسطة overlap - 26-03-2021, 10:54 AM

RE: anti-debug using job objects - بواسطة siddigss - 26-03-2021, 12:17 PM

التنقل السريع :

يقوم بقرائة الموضوع: بالاضافة الى ( 3 ) ضيف كريم

دخول
إسم المستخدم :
كلمة المرور :	فقدت كلمة المرور ؟
	تذكرني