Jsem si jistý, že mnoho z vás je obeznámeno s tímto klasickým antidebugovým trikem, kterého lze dosáhnout voláním ZwSetInformationThread
s ThreadInformationClass
nastaveným na 0x11. Ačkoli existuje mnoho modulů OllyDbg za účelem odhalení existence vláken skrytých touto metodou, nebyl jsem schopen najít žádné informace o kanonické technice použité k odkrytí těchto vláken v OllyDbg.
Je funkce obecně závislá na uživatelském režimu (např. SetWindowsHookEx
), nebo je pragmatičtější opravovat instrukce, které buď přímo volají funkci NTDLL, nebo systémová volání, která ji nepřímo vyvolávají?