首页
社区
课程
招聘
未解决 [求助]如何过掉PEB+2的debug检测 10雪币
发表于: 2024-10-1 11:42 3401

未解决 [求助]如何过掉PEB+2的debug检测 10雪币

2024-10-1 11:42
3401

如何过掉PEB+2的检测,我在dll里面开了一个一直往peb+2的位置写入0,但是当我调试器附加的一瞬间,+2位置改成了1,按理说我的dll线程应该马上把它改为0,但是并没有,此时cpu执行了目标进程的检测代码,dll线程还未来的即修改,就被检测了,怎么办?

这是dll代码

这是目标进程代码

dll注入成功

但是dll线程并没有修改成功


[峰会]看雪.第八届安全开发者峰会10月23日上海龙之梦大酒店举办!

最后于 2024-10-1 11:45 被goose007编辑 ,原因:
上传的附件:
收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 1400
活跃值: (737)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
PEB+2我记得是isDebuggerPresent吧,x64dbg里面的调试-高级-隐藏调试器(PEB)都能过。
2024-10-2 00:09
0
雪    币: 239
活跃值: (546)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
mb_fefksfsl PEB+2我记得是isDebuggerPresent吧,x64dbg里面的调试-高级-隐藏调试器(PEB)都能过。
你说的时api,直接Hook就好了,但像上面这种不通过api,怎么弄它
2024-10-2 09:49
0
雪    币: 14598
活跃值: (5858)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
不需要注入Dll,直接修改为0即可
2024-10-2 12:14
0
雪    币: 1430
活跃值: (4468)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
5
异常
2024-10-3 08:34
0
游客
登录 | 注册 方可回帖
返回
//