Breakpoints

  • Hey ich hab eine kleine Frage wenn ich meinen neune UnhandledExceptionFilter erstelle muss ich dann den alten hooken und dann meinen neuen aufrufen lassen?


    Code
    1. LONG WINAPI __UnhandlerExceptionFilter( struct _EXCEPTION_POINTERS* ExceptionInfo )





    Mein neuer EFilter

  • Hey, ich war zufällig auf der suche nach dem selben Problem.
    Ich habe eine neue Funktion gemacht und in dieser meinen Breakpoint gesetzt.


    So sieht mein UnhandlerExceptionFilter aus:



    1) Ich bin mir nicht sicher ob Überhaupt UnhandlerExceptionFilter gecallt wird.
    2) Ich weiß nicht ob man die neuen Args die ich gesetzt habe noch mal alle in den Stack pushen muss.


    Könnte mir jemand weiterhelfen?

  • Ich bin mir sicher, dass hier Leute helfem könnten, wenn ihr sagt, warum ihr das macht und was ihr damit vorhabt.
    Sollte dies ein Top-Secret Projekt für die US-Regierung sein, dann wendet euch doch bitte an Personen mit der nötigen Geheimhaltungsstufe.


    MfG

  • Nein :D Ich wollte einen BreakPoint auf die MessageBoxA Funktion setzten und wenn dieser ausgelöst wird ein Parameter verändern. Jedoch weiß ich nicht wie ich das mit dem UnhandlerExceptionFilter soll. Wollte versuches MessageBoxA auf diese weiße zu "hooken".

  • Ich bin da selbst drauf gekommen, aber P47R!CK hatte da mal was zu geschrieben, das stimmt schon.


    MfG

  • Ahh ok. Wie ist das eigentlich mit der Sicherheit von den beiden Methoden? Die mit den Breakpoint kann man einfach über GetThreadContext abfragen und somit detected. Es sein den man hookt die Funktion... Kann man diesen dann auch immer noch einfach detected?


    MfG

  • Ich weiß, dass Punkbuster dich trotzdem erkennt. VAC2 !glaube! ich nicht.
    Am Endes meines Tutorials steht da aber noch was zu: VirtualQuery auf deine gehookte Funktion angewand, würde dich bspw. entdecken.


    MfG

  • Also müsste man VirtualQuery ebenfalls umgehen um unerkannt zu bleiben. Aber gegen einen gezielten Schutz einer Funktion hilft dann nur noch reversen? Zum Beispiel ein andere Thread checkt immer die ersten 5 Bytes der Funktion.


    Und dann hookst du das 6. Byte :P

  • Nj dongdong ich weiß net ob die Idee so gut ist. :D
    Ich weiß nicht ob mans mal testen soll auf einem Vac2 sichern Server einfach mal Noflash anzuamchen und sehen obs mit der Methode auffällt oder nicht.


    Wenn du Accounts zu viel hast, dann nur zu :)


    Ich frag mich sowieso immer wie man i-was als Secure abstempeln kann. Kann man eig. nur über reversen rauskriegen oder halt probieren ^^.