Publicités
Users Who Are Viewing This Thread (Total: 0, Members: 0, Guests: 0)
Les registres ne sont pas les mêmes, je ne connais pas vraiment les OS, mais certaines choses sont prises en compte sur des OS, mais pas sur d'autres.
Parce que certaines API changent en fonction de l'OS.
Donc certains moyen de bypass peuvent fonctionner sur un OS, mais pas un autre.
ex : IsDebuggerPresent
Sur XP x86 (Et peut être d'autres versions) :
Sur windows 8 x64 :
Le code fait exactement la même chose, cad cherche le Process Environment Block et met la valeur du byte BeingDebugged dans EAX.
Juste d'une différente façon. Donc si tu essaie de bypass cette fonction, ça ne marchera pas sur tout les OS.
Donc certains moyen de bypass peuvent fonctionner sur un OS, mais pas un autre.
ex : IsDebuggerPresent
Sur XP x86 (Et peut être d'autres versions) :
Code:
MOV EAX, DWORD PTR FS:[18]
MOV EAX,DWORD PTR DS:[EAX+30]
MOVZX EAX,BYTE PTR DS:[EAX+2]
RETNSur windows 8 x64 :
Code:
MOV EAX,DWORD PTR FS:[30]
MOVZX EAX,BYTE PTR DS:[EAX+2]
RETNLe code fait exactement la même chose, cad cherche le Process Environment Block et met la valeur du byte BeingDebugged dans EAX.
Juste d'une différente façon. Donc si tu essaie de bypass cette fonction, ça ne marchera pas sur tout les OS.
ça m'éclaircit aussi, merci !
En bref, quelques fonctions ne s’exécutent pas de la même façon dans tous les OS.
Pour t'expliquer un peu plus en français, et une manière de comprendre...
IsDebuggerPresent est une fonction d'une API Windows. Si tu sais pas ce qu'est une API:
=> En recherchant sur google, on trouve qu'une API Windows est un fichier .DLL contenant des fonctions visant a facilité certaines tâche sur un ordinateur tournant sur Windows.
D'après MSDN, IsDebuggerPresent: "Determines whether the calling process is being debugged by a user-mode debugger."
=> Détermine si le processus d'appel est en cours de débogage par un débogueur en mode utilisateur. (Google Trad')
Sur XP x86, cette fonction est construite de cette manière:
Code:
MOV EAX, DWORD PTR FS:[18]
MOV EAX,DWORD PTR DS:[EAX+30]
MOVZX EAX,BYTE PTR DS:[EAX+2]
RETNC'est de l'ASM (assembleur), c'est un langage compliqué très proche du langage machine.
Sur Windows 8 x64:
Code:
MOV EAX,DWORD PTR FS:[30]
MOVZX EAX,BYTE PTR DS:[EAX+2]
RETNLes deux code font la même chose, l'autre est l'évolution de l'un.
" cherche le Process Environment Block et met la valeur du byte BeingDebugged dans EAX."
=> En français, ça donne:
=> "Cherche le bloque d'environnement du processus et met la valeur du byte BeingDebugged ( donc celle qui dis si le processus est en mode debogage ou pas ) dans la "variable" EAX."
Cependant, tu remarque que les deux façon d'écrire la fonction sont différente: de ce fait, un bypass de la fonction IsDebuggerPresent qui fonctionne sous XP ne fonctionnera pas sur Windows 8 :')
La connaissance est le fruit de la réussite, en t'expliquant j'ai appris une chose sur IsDebuggerPresent en faisant la recherche.
Si tu veux que j'éclaircisse un autre point, n'hésite pas à demander.
