wait

改：EAX=0，也不行，

IsDebuggerPresent 应该是EAX返回置0就行了
另：ASpr出错不一定就是IsDebuggerPresent的问题

最初由 fly 发布
IsDebuggerPresent 应该是EAX返回置0就行了
另：ASpr出错不一定就是IsDebuggerPresent的问题

谢谢FLY
EAX返回置0仍有问题，可是用IsDebuggerPresent插件就没有问题，是否IsDebuggerPresent插件还有其他功能？

最初由 fly 发布
没问题的
或许还有多次检测IsDebuggerPresent

如果第一次改：
mov eax, fs:[18]
mov eax, dword ptr [eax+30h]
movzx eax, byte ptr [eax+2h]
ret
改成:xor eax,eax
ret
应当说以后无论多少次检测IsDebuggerPresent，返回值EAX都是0呀
请FLY试试上面的附件，我好几天没解决555555
多谢

你错了。
ASProtect 会自己实现 IsDebuggerPresent，
应该执行一段代码：
and fs:[30h], 0
这样就没有问题了。

就是说ASProtect会把IsDebuggerPresent功能代码搬到自己的壳执行，你不把标志销毁，当然光改IsDebuggerPresent的执行代码就走不通！

另外，我也想问在98的IsDebuggerPresent函数的代码为何不同于比它高级的系统：
BFF94A33   mov eax,dword ptr ds:[BFFCADE4]
BFF94A38   mov ecx,dword ptr ds:[eax]
BFF94A3A   cmp dword ptr ds:[ecx+54],1
BFF94A3E   sbb eax,eax
BFF94A40   inc eax
BFF94A41   retn

98、ME以上系统：
mov eax, fs:[18]
mov eax, dword ptr [eax+30h]
movzx eax, byte ptr [eax+2h]
ret

如何能突破OD在98的修改权限（应该说如何Patch吧），在DFCG有个人说它用Unknow插件可解决？

内容如下：
lordways发言：我经常用这个小工具在W98下隐藏OD

This little tool has 2 buttons.

1.The first, "Hide", hooks th IsDebuggerPresent API and makes it unuseful
against debuggers. The Armadillo software protection system is owned by
this trick ! After having hidden your debuggers, you can restore the
first verion of the API by re-clicking the button, which caption had
changed to "Un-Hide".

2.The second button enables you to activate breakpoints on Windows APIs in
OllyDbg under 9x systems, thing which was impossible. Caution, it makes your
Kernel32 in memory WRITEABLE, so a simple line of code can kill your most
basic Windows functions, until next reboot.
    After having set breakpoints with OllyDBG, if you are not sure your Kernel
is clean, you can fix all the APIs's first byte by clicking "Fix". After that a
messagebox appears, asking you if you want to COMPLETELY clean you Kernel.
If you answer YES, you will be able to execute ALL applications, the
no-imports ones too.
If you answer NO, you will be able to re-fix your Kernel as you want, when
you want, until you click YES.

    All these tricks work, even if you close this tool. It detects if you have the bps enabled or IsDebuggerPresent hooked, and inits itself, following the
different cases.

Hope it will be useful for you,

最初由 forgot 发布
你错了。
ASProtect 会自己实现 IsDebuggerPresent，
应该执行一段代码：
and fs:[30h], 0
这样就没有问题了。

能否具体说说怎样执行：
and fs:[30h], 0
多谢

d fs:[30]然后看到那个1改成0

最初由 liuyilin 发布

能否具体说说怎样执行：
and fs:[30h], 0
多谢

随便找个地方写上，Ctrl+*，F8，再把Eip改回去。

3q 各位

可否照顾我这种菜鸟,先说说什么是: IsDebuggerPresent 阿?

1、IsDebuggerPresent是winAPI函数，可用来检测三级调试器的函数，可以用来反跟踪调试器。
2、IsDebuggerPresent插件，OD插件，可以隐藏OD不被被调试的程序发现OD，脱壳调试时非常有用（只对win2K和XP有效）。

对有些程序加上插件可以避免到检测，
去掉插件会被检测到！
但是有些地方还是不管用，Win9x要搞
Crack真比2000要麻烦一点！

学习！

最初由 liuyilin 发布
因为XP-SP2 IsDebuggerPresent插件不好使
所以想手动消灭[/URL]IsDebuggerPresent
我到IsDebuggerPresent
把:
mov eax, fs:[18]
........

mov eax, fs:[18]
    mov eax, dword ptr [eax+30h]

记下地址eax   用        WriteProcessMemory

直接  改为0 即可。

主要是 TEB 的 pProcess 这个地址的问题，把它清零就可以欺骗被调试的进程了，原理请参阅我的文章：

7cbK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3I4#2L8$3y4G2L8X3N6Q4x3X3g2U0L8$3#2Q4x3V1k6S2M7Y4c8A6j5$3I4W2M7#2)9J5c8Y4y4Z5L8%4N6Q4y4h3k6S2M7Y4c8A6j5$3I4W2i4K6u0W2j5i4y4H3i4K6y4r3b7i4u0@1K9h3y4D9k6g2)9#2k6V1W2p5i4K6y4p5x3K6l9`.

最初由 liuyilin 发布

如果第一次改：
mov eax, fs:[18]
mov eax, dword ptr [eax+30h]
movzx eax, byte ptr [eax+2h]
........

只对 EAX 清 0 是没用的，因为并没有清除到 TEB 的 30h 处。

最初由 luocong 发布


只对 EAX 清 0 是没用的，因为并没有清除到 TEB 的 30h 处。

这才对也:p

学到东东了，
终于知道怎么回事了
可还是有个插件方便的说

就拿你传上的附件为例子,把相应的地方
贴一下那？

最初由 liuyilin 发布

这才对也:p