Ollydbg detection ohne attachment

[Lazeboy]

Hey leute,
Mein Problem ist, das ollydbg entdeckt wird obwohl ich noch nicht attached habe. Ich vermute es kommt durch den EagleNt.sys Driver also handelt sich hier um HackShield

Ich habe folgendes bis jetzt probiert:

- FindWindow gehookt damit themida den debugger beim starten nicht erkennt
- EnumProcess,EnumWindows wird nicht aufgerufen
- Mt einem Rootkit ZwQuerySystemInformation gehookt um ollydbg zu verstecken
- ZwQuerySystemInformation gehookt und geschaut wann die Funktion von dem Spiel aufgerufen wird, aber irgendwie wird sie auch da nicht gecallt
- Dann dachte ich mir gehe ich mal auf nen 64bit system und dort wird nichts erkannt solange ich nicht attache versteht sich

deswegen auch meine vermutung

Meine Frage
-Womit kann der driver noch erkennen ob ich ollydbg am laufen habe ?
oder
Wieso wird olly noch erkannt ?

achja ich denke so wird hackshielda auch andere prozesse wie cheat engine finden obwohl sie versteckt sind

[link]

Hookst du FindWindow und EnumWindows in der Shadow SSDT?
Hast du denn schon einfach mal z.B. StrongOD ausprobiert?

Habe dir gerade eben mal ein kleines Beispielprogramm geschrieben, das mit den EPROCESS-Objekten arbeitet, wie ich es in deinem anderen Thread angesprochen hatte
(kann allerdings 'nen BSoD verursachen; kenne mich nicht besonders mit Drivern aus.. hab's auf Win7 x86 getestet)
Ich schätze allerdings, dass dir das nicht wirklich weiterhelfen wird, da es sehr wahrscheinlich auch in StrongOD, etc. implementiert ist und noch vieles mehr

[Lazeboy]

danke für die antworrt ich gucks mir mal demnächst an, leider fängt die Schule wieder an und ich muss mich ein wenig aufs abbi konzentrieren

und StrongOD geht aber mir gehts ja darum zu verstehen wie hackshield das macht und das dann zu bypassen

PS:
Danke für die anregung masm32 zu downloaden und langsam anzufangen in asm mal zu programieren

[Akorn]

Wen du Assembler lernen willst dan nimm lieber Nasm oder Fasm anstat Masm.

[Lazeboy]

alles kla
thx