Вопрос по 42 уроку Рикардо Нарвахи .

[Console]

Салют камрады . Помогите новичку осмыслить 42 урок
Введения в крэкинг с нуля, используя OllyDbg
Сам мануал хранится тут
Собственно урок главным образом на тему ollyscript . Рикардо патчит свой же скрипт , который был сделан для 40 урока . Он должен прятать hbp от кода антиотладки , удаляя их вначале api KiUserExceptionDispatcher и восстанавливая в ее конце .
Ситуевина в том что скрипт который делал это в 40 уроке не работает в 42ом .
И Нарваха что-то делает через сontext потока чтобы все снова работало .
Было бы классно , если кто-то поможет понять как это происходит .

[Darwin]

Кто-то тут делал разбор всех уроков на ютубе, вот 42 глава с этим скриптом:

https://www.youtube.com/watch?v=rf8S...tu.be&t=13m31s

[Console]

Благодарю , но Яшу я уже посмотрел . Ничего нового по данному уроку он не озвучил .

[Darwin]

Ситуевина в том что скрипт который делал это в 40 уроке не работает в 42ом .
И Нарваха что-то делает через сontext потока чтобы все снова работало .
Было бы классно , если кто-то поможет понять как это происходит .

В 40 уроке, вероятно, в обработчике исключений происходит обращение к структуре Context, через функцию GetThreadContext. Соответственно, когда происходит вызов этой функции, отладочные регистры уже очищены и детект не происходит, так как до вызова обработчика исключений, нарваха снимает HBP.

В 42 уроке, происходит обращение к "копии" структуры Context, которая передается в обработчик исключений по указателю. Поэтому, когда мы восстанавливаем HBP, наши изменения не затрагивают текущую копию.

Соответственно, нарваха предлагает два варианта:
1. На первом BP, cохранять значения регистров DR0-DR3, которые находятся в структуре Context. А на втором BP, восстанавливать эти значения.
2. Поставить дополнительный BP на адрес возврата из исключения и когда управление вернется в нормальное русло, вернуть стертые HBP.