Русский / Russian English / Английский

Сейчас на форуме: morgot, bartolomeo, [wl], _MBK_ (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Вопросы новичков —› Антидебаг на ollydbg32
Посл.ответ Сообщение

Ранг: 7.4 (гость)
Статус: Участник

Создано: 11 мая 2011 11:59 New!
Цитата · Личное сообщение · #1

Добрый день! Простите сразу, если такая тема была, но я не нашел на форуме. Я только начинаю разбираться с приемами крекинга. Загрузил в ollydbg PE-шку (не упакованную - проверено в PEiD). Нажал F9 - вывалился иксэпшн. Как я понимаю, это защита от дебагинга, т.к. 1) при обычном запуске все запускается, 2) в дампе ОЗУ при отладке есть юникод-строка "Debugger".

Подскажите, пож-та, есть ли способ борьбы/обхода этой защиты. Т.е. чтобы PE запускался под отладчиком ollydbg.

Ранг: 137.9 (ветеран)
Статус: Участник

Создано: 11 мая 2011 12:05 New!
Цитата · Личное сообщение · #2

Тут этот вопрос хорошо освещен, прям один в один как у тебя - http://www.wasm.ru/series.php?sid=17 вот только главу точно не могу вспомнить.

| Сообщение посчитали полезным: hlmadip


Ранг: 22.1 (новичок)
Статус: Участник

Создано: 11 мая 2011 12:35 New!
Цитата · Личное сообщение · #3

(IsDebuggerPresent)

http://www.wasm.ru/article.php?article=ollydbg19

Ранг: 37.1 (посетитель)
Статус: Участник

Создано: 11 мая 2011 15:55 New!
Цитата · Личное сообщение · #4

Посмотри, откуда приложение аварийно завершается: View - Call Stack, так быстро найдёшь место проверки и уберёшь её. Либо скачай какие-нибудь плагины, скрывающие OllyDbg.

Так же ещё приложение может установить свой обработчик исключений и их самостоятельно обрабатывать, что нельзя отладить. Смотри функцию SetUnhandledExceptionFilter().


Ранг: 322.8 (мудрец)
Статус: Участник

Создано: 11 мая 2011 16:23 New!
Цитата · Личное сообщение · #5

S0mbre пишет:
Нажал F9 - вывалился иксэпшн

Какой иксепншн-то? На Shift-F9 нажимать не пробовал? Иксэпшен в игнор поставить?

Ранг: 10.1 (новичок)
Статус: Участник

Создано: 11 мая 2011 18:04 New!
Цитата · Личное сообщение · #6

S0mbre пишет:
Нажал F9 - вывалился иксэпшн


Для некоторых программ иксэпшены - вполне нормальное явление(особенно часто встречался в дельфовых прогах)

Ранг: 7.4 (гость)
Статус: Участник

Создано: 13 мая 2011 09:48 New!
Цитата · Личное сообщение · #7

ff0h пишет:
(IsDebuggerPresent)http://www.wasm.ru/article.php?article=ollydbg19


Пробовал идти этим путем. На самом деле нашел вызов IsDebuggerPresent (см. скрин). Поставил соответствующие брейпоинты, дотрассировал до условного перехода JE (который, как я понял, отвечает за закрытие программы, если она работает под отладчиком - т.к. переход стоит как раз после проверки регистра EAX на ноль). Ну, изменил на JMP... Однако затем оказалось, что эта проверка осуществляется не в самом модуле программы, а в системной библеотеке uxtheme.dll (...\system32). При попытке сохранения пропатченного кода olly об этом предупреждает (см. скрин). Для любопытства я все же сохранил патченную dll-ку с этим же именем в ...\system32 (предварительно сделав бэкап исходного файла). Но не прокатило - все равно под отладчиком отказывается запускаться.

PS. Иксэпшн не имеет значения (на самом деле, это E06D7363 - exception non-continuable). Проверил EAX - действительно, как описано в статье, после вызова IsDebuggerPresent в него записывается единица. Так что здесь все ясно )))
PPS. Вопрос открыт.

{ Атач доступен только для участников форума } - screen.jpg

Ранг: 19.9 (новичок)
Статус: Участник

Создано: 13 мая 2011 10:04 · Поправил: Neo32 New!
Цитата · Личное сообщение · #8

Какая ольга версии? Если 1.10, то скачай плагин для скрытия phant0m или StrongOD

Ранг: 57.9 (постоянный)
Статус: Участник

Создано: 13 мая 2011 11:09 New!
Цитата · Личное сообщение · #9

а прогу саму можно увидеть?

Ранг: 617.3 (!)
Статус: Участник

Создано: 13 мая 2011 13:50 New!
Цитата · Личное сообщение · #10

Сделай вот так в настройках

и не парься.

Ранг: 7.4 (гость)
Статус: Участник

Создано: 13 мая 2011 14:15 · Поправил: S0mbre New!
Цитата · Личное сообщение · #11

@Neo32
2.01. v1 может потом поставлю, пока не ставил.

@hlmadip
Конечна))

@Vovan666
Поставил как ты показал. Один фиг. Вываливается упомянутый "E06D7363 - exception non-continuable". См. скрин.

{ Атач доступен только для участников форума } - screen21.jpg

Ранг: 617.3 (!)
Статус: Участник

Создано: 13 мая 2011 14:27 New!
Цитата · Личное сообщение · #12

Нормально запускается без всяких исключений. Попробуй другую версию(сборку) olly.

Ранг: 57.9 (постоянный)
Статус: Участник

Создано: 13 мая 2011 14:39 New!
Цитата · Личное сообщение · #13

olly 1.10 - норм
ida 5.2 - норм

Ранг: 7.4 (гость)
Статус: Участник

Создано: 13 мая 2011 15:26 New!
Цитата · Личное сообщение · #14

Да, все в порядке. Скачал olly1.10 с плагинами. Помогло решение @Vovan666 - игнорить все иксэпшны.
Всем спасибо. Буду ковыряться дальше.

PS. Эту прогу ковыряю с тем, чтобы обойти ограничение по распечатке электронных изданий газет на виртуальный pdf принтер. Прога позволяет печатать только на реальные принтеры. Подозреваю, где-то должна стоять проверка доступных принтеров. В список принтеров выводятся только "реальные". Вот и хочу обойти проверку принтеров))

Ранг: 1.3 (гость)
Статус: Участник

Создано: 25 мая 2017 13:52 New!
Цитата · Личное сообщение · #15

Ребята подскажите как обойти эту штуку http://s018.radikal.ru/i504/1705/8b/1ed464cea34b.jpg
при установке Breakpoint вылазит такое окошко, упаковщик VMProtect. Может есть плагин какой специальный, стоит Phant0m но он только помогает запустить F8 чтобы прога стартовала, как вылазит окно запроса пароля ставлю бряк и всё дальше не могу пройти из за этой беды.

Ранг: 252.0 (наставник)
Статус: Участник

Создано: 25 мая 2017 14:08 New!
Цитата · Личное сообщение · #16

sarsmen пишет:
упаковщик VMProtect

это не упаковщик. ScyllaHide в помощь, только фантома удали перед этим


Ранг: 150.7 (ветеран)
Статус: Участник

Создано: 25 мая 2017 14:11 New!
Цитата · Личное сообщение · #17

чёт бряк на какой-то странной инструкции стоит.
вероятно, пересчитывается чексумма и палится, так как на месте того что должно быть находится 0xCC
хардбряк должен помочь

Ранг: 1.3 (гость)
Статус: Участник

Создано: 25 мая 2017 15:43 New!
Цитата · Личное сообщение · #18

TryAga1n пишет:
это не упаковщик. ScyllaHide в помощь, только фантома удали перед этим

ставил он вообще палится сразу
http://s008.radikal.ru/i306/1705/39/e35d014c3b42.jpg
http://s04.radikal.ru/i177/1705/e3/46dc96b70d80.jpg


Ранг: 150.7 (ветеран)
Статус: Участник

Создано: 25 мая 2017 17:14 · Поправил: -=AkaBOSS=- New!
Цитата · Личное сообщение · #19

sarsmen пишет:
ставил он вообще палится сразу

во-первых, сциллу надо настроить сначала - прописать несколько адресов функций для используемой винды (в комплекте идёт гайд, как это сделать по символьным файлам)
во-вторых, надо в настройках включить соответствующий профиль (ну или просто поиграться с флажками)
в-третьих, никакой плагин не поможет, если ты будешь тупо лепить софтбряки на код, который проверяется на целостность.

вот мои настройки для вмпрота, дебажится норм



sarsmen пишет:
тока на бряки реагирует что ломают типа софт

я спрошу еще раз - а с хардбряком как работает? железный бряк, ставится через отладочные регистры.

Ранг: 1.3 (гость)
Статус: Участник

Создано: 25 мая 2017 18:34 New!
Цитата · Личное сообщение · #20

Тут хоть тупо лепи хоть не тупо, эта защита VMP поэтому и не даёт пройти я уже как тока галки не ставил, а вот Фантом даёт пройти тока на бряки реагирует что ломают типа софт.


Ранг: 327.6 (мудрец)
Статус: Участник

Создано: 26 мая 2017 04:05 New!
Цитата · Личное сообщение · #21

deprecated.
Используйте поиск по форуму.
 eXeL@B —› Вопросы новичков —› Антидебаг на ollydbg32

Видеокурс ВЗЛОМ