Как обойти IsDebuggerPresent с OllyDbg?

есть много способов сделать это. Как вы сказали, можно исправить блок потоков программы. Вот учебник, как обойти IsDebuggerPresent, просто исправив эту функцию, чтобы она всегда возвращала 0.

1) Найдите IsDebuggerPresent

в моей ситуации он находится на 7664EFF7 и состоит только из трех инструкций + одного RET. Он считывает блок потока (адрес находится в FS: 18), а затем находит байт, который говорит: "Я отлаживаюсь" и возвращает его. Возвращаемое значение хранится в EAX (как и для большинства функций WINAPI). Если я изменю функцию так, чтобы в конце она имела EAX = 0, я успешно обойду IsDebuggerPresent.

2) Патч это

теперь самый простой способ сделать это-просто заставить функцию просто сделать MOV EAX, 0 инструкции, а затем RETN:

обратите внимание, что я также заполнил остальную часть функции NOPs, чтобы избежать изменения ее размера. Это, вероятно, не нужно, вы также могли бы просто сделать MOV EAX, 0 и только потом RETN.

также вы должны знать, что модификация действительна только для одного запуска программы. При перезапуске он загрузит новую копию kernel32.dll (где находится IsDebuggerPresent) с исходной функцией, и вам придется снова применить патч. Если вы хотите сделать патч постоянным, вам нужно изменить двоичный файл запуска и изменить/удалить вызов для этого функция. Но прежде чем вы это сделаете, вам также нужно убедиться, что двоичный файл не проверяет себя на наличие изменений.