Estoy seguro de que muchos de ustedes están familiarizados con este clásico truco anti-errores que se logra llamando a ZwSetInformationThread
con ThreadInformationClass
configurado en 0x11. Aunque existen muchos módulos de OllyDbg con el propósito de revelar la existencia de subprocesos ocultos con este método, no he podido encontrar ninguna información sobre la técnica canónica empleada para mostrar estos subprocesos en OllyDbg.
¿La función generalmente está enganchada en modo de usuario (por ejemplo, SetWindowsHookEx
), o es más pragmático parchear instrucciones que llaman a la función NTDLL directamente o llamadas al sistema que la invocan indirectamente?