eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: AlexsandrS (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Основной форум —› Антиотладочные приемы
<< . 1 . 2 . 3 . 4 . 5 . >>
Посл.ответ Сообщение

Ранг: 105.9 (ветеран)
Статус: Участник

Создано: 6 июля 2008 12:07 · Поправил: Sturgeon New!
Цитата · Личное сообщение · #1

На днях откопал свою писульку про антиотладку. В свое время собирал всякий материал, в основном английский, переводил и собирал во одну доку. Вот решил выложить, чтобы попинали.
Может кому-то из чайников вроде меня пригодится. Хотя, конечно, хочется, чтобы кто-то из опытных реверсеров посмотрел и указал на ошибки, неточности перевода и т.д.


Ранг: 138.1 (ветеран)
Статус: Участник
Одепт ЭкзэЛаба

Создано: 16 августа 2008 13:58 New!
Цитата · Личное сообщение · #2

Спасибо огромное за исходник и совет. Я реально крот,что у апокса этот сорец не заметил)))

Ранг: 64.4 (постоянный)
Статус: Участник

Создано: 16 августа 2008 15:19 New!
Цитата · Личное сообщение · #3

Sturgeon пишет:
Antidebug Tester.

Шикарные трюки... с нисчего обнаружил отладчик 2 методами.


Ранг: 282.8 (наставник)
Статус: Участник
win32.org.ru

Создано: 16 августа 2008 15:37 New!
Цитата · Личное сообщение · #4

Чуется мне ща вся эта баланда появится в протах Flashback/TMX и g-l-u-k.

Ранг: 64.4 (постоянный)
Статус: Участник

Создано: 16 августа 2008 15:48 New!
Цитата · Личное сообщение · #5

Guru_eXe пишет:
Чуется мне ща вся эта баланда появится в протах Flashback/TMX и g-l-u-k.

g-l-u-k, тоже из TMX , а думаю везде поменять Flashback на Flashback/TMX, а то я далеко не один Flashback. Часть и так есть, ты же мне дал или я нашел английскую версию статьи с которой был сделан русский аналог. Ты потрейс и посмотри.


Ранг: 500.5 (!)
Статус: Участник

Создано: 16 августа 2008 16:38 New!
Цитата · Личное сообщение · #6

свое бы что нибудь придумали, а то бояны юзать ума много не надо ;)

Ранг: 64.4 (постоянный)
Статус: Участник

Создано: 16 августа 2008 16:57 New!
Цитата · Личное сообщение · #7

Smon пишет:
свое бы что нибудь придумали, а то бояны юзать ума много не надо ;)

я и так придумал


Статус: Пришелец

Создано: 17 августа 2008 15:24 New!
Цитата #8

Smon пишет:
свое бы что нибудь придумали, а то бояны юзать ума много не надо ;)

MeltICE для Syser можно считать не баяном? Хотя обходится за пару минут патчем 4-х его драйверов...

progopis пишет:
IDA пропускает несколько команд, действие которых можно отменить - и там ставит бряк...

Гон - бряк сразу после call'а. Баг был в моей проге...

progopis пишет:
А вот SoftiCE никаких там 0xCC вроде бы не ставит

SoftICE 4.3.2.1 попался на Hardware (не факт что он так обходит call'ы, но других вариантов пока не вижу). Но! Прошу заценить содержимое DrX-регистров (всё в hex):
Dr0=17
Dr1=17
Dr2=bdfc25b9
Dr3=0

Зачем такие бряки???


Ранг: 1997.6 (!!!!)
Статус: Модератор
retired

Создано: 17 августа 2008 18:55 New!
Цитата · Личное сообщение · #9

А вариант не там посмотрел ДР регистры катит? Ибо больше идей никаких нет.


Статус: Пришелец

Создано: 19 августа 2008 13:20 · Поправил: progopis New!
Цитата #10

Archer пишет:
А вариант не там посмотрел ДР регистры катит? Ибо больше идей никаких нет.

В процедуре делаем исключение, в обработчике сохраняем DrX регистры (первые 4) и печатаем через _sprintf.

Ставил бряки в OllyDbg и запускал - реально показывает регистры, которые можно увидеть в окне OllyDbg - Hardware Breakpoints.

То же самое в SoftICE - при проходе через call на эту процедуру по F10 - trace over - отладчик вырубается и вылетает мессага с этими регистрами. Проверял несколькими запусками. Все остальные отладчики (а это Syser 1.97, OllyDbg 1.10 и 2.00 (alpha 5), IDA 5.0, MS VS Dbg 6.5, Intel Enhanced Debugger 7...) ставят бряк Int3 (0xCCh) после КОПа call'а...

Буду копать дальше...


Ранг: 355.4 (мудрец)
Статус: Uploader
5KRT

Создано: 19 августа 2008 17:28 New!
Цитата · Личное сообщение · #11

У Hellsp@wn'а была программа показывающая методы обнаружения отладчика (дофига методов) EDD помоему.


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 20 августа 2008 02:13 New!
Цитата · Личное сообщение · #12

coderess, и что?


Ранг: 660.7 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 27 августа 2008 22:57 New!
Цитата · Личное сообщение · #13

coderess пишет:
У Hellsp@wn'а была программа показывающая методы обнаружения отладчика (дофига методов) EDD помоему.
Ну не дофига, и в этих антиотладочных трюках гораздо больше описано всяких фишек

Ранг: 0.8 (гость)
Статус: Участник

Создано: 9 сентября 2008 13:52 New!
Цитата · Личное сообщение · #14

Нихрена не качает - ни ослик ни козлик, ни огненный лис
Выложите, пожалуйста в нормальном месте кто-нибудь, у кого архивы не бьются


Ранг: 660.7 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 9 сентября 2008 16:07 New!
Цитата · Личное сообщение · #15

Мне кажется, целесообразно было бы упомянуть о приёмах, которые могут иметь место при использовании плагинов в Ольке (соответственно в разделе про Ольку), например, Olly Advanced выполняет хуки к третьем кольце защиты в самой проге, поэтому при обнаружении такого хука можно подумать про присутствие отладчика, или при использовании Фантома процесс нельзя открыть через OpenProcess, что можно использовать, к примеру, если потом править контекст одного из потоков, предварительно получая хэндл этого потока, то при использовании Фантома получим маленький подарок, конечно, это только пример, но, думаю, суть уловили все.

Ранг: 34.8 (посетитель)
Статус: Участник

Создано: 10 сентября 2008 18:23 New!
Цитата · Личное сообщение · #16

Прочёл классная вещь! Да многие счас начнут выёживаться типа ЭЭэээ...... да это фигня!!! вот если бы..... да еслибы про ....... тогда..... а это........ Короче парни кто такой умный не пишите ничего! а как сказал один не глупый человек НОВОЕ-ХОРОШО ЗАБЫТОЕ СТАРОЕ! хотите новые способы анти* совершенствуйте старые придумывайте новые фишки! - моё мнение!


Ранг: 660.7 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 10 сентября 2008 22:07 New!
Цитата · Личное сообщение · #17

lobs пишет:
Прочёл классная вещь!
Полностью согласен.
Да многие счас начнут выёживаться типа ЭЭэээ...... да это фигня!!! вот если бы..... да еслибы про ....... тогда..... а это........
Я не выёживаюсь, просто советую, что, по-моему, нужно добавить, и я не хотел тут никого обидеть, автору респект


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 10 сентября 2008 22:15 New!
Цитата · Личное сообщение · #18

да, вещь не плохая, аж самому захотелось протектор написать на этих примерах


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 10 сентября 2008 22:26 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #19

ARCHANGEL пишет:
Мне кажется, целесообразно было бы упомянуть о приёмах, которые могут иметь место при использовании плагинов в Ольке (соответственно в разделе про Ольку)


я как разработчик плага протев однозначно. давайте выложим ещё и приватные баги ольги, чтобы окончательно завалить отладчик и реверся очередную прогу, натыкаться на непонятные косяки и так уже старенькой ольги. вот выйдет релиз 2.0, то будет новый виток, там посмотрим.

з.ы. это только моё имхо.
з.ы.ы. кому надо - сам найдёт, а кто не нашёл - значит и не особо надо ему.

ARCHANGEL пишет:
Ну не дофига, и в этих антиотладочных трюках гораздо больше описано всяких фишек


он про другое говорил, теория и практика вообще то разняться


Ранг: 118.1 (ветеран)
Статус: Участник

Создано: 11 сентября 2008 09:18 New!
Цитата · Личное сообщение · #20

Hellspawn пишет:
давайте выложим ещё и приватные баги ольги, чтобы окончательно завалить отладчик и реверся очередную прогу, натыкаться на непонятные косяки и так уже старенькой ольги.

+1 Ты прав, не надо выложивать эти приёмы.

Hellspawn пишет:
вот выйдет релиз 2.0, то будет новый виток, там посмотрим.

Даже когда выйдет 2.0 , всеравно не надо выложивать эти баги, зачем ?! Не ну можно выложить,
и будет лишние проблемы при ковырянии очередного протектора или программы.


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 11 сентября 2008 09:26 New!
Цитата · Личное сообщение · #21

пусть это будет на совесть автора


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 11 сентября 2008 12:42 New!
Цитата · Личное сообщение · #22

borov пишет:
да, вещь не плохая, аж самому захотелось протектор написать на этих примерах


протектор - это не только антиотладка ;) за примерами далеко ходить не надо.

borov пишет:
пусть это будет на совесть автора


согласен.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 11 сентября 2008 12:47 New!
Цитата · Личное сообщение · #23

Hellspawn пишет:
протектор - это не только антиотладка ;) за примерами далеко ходить не надо.

+1
хороший протектор это вообще не антиотладка


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 11 сентября 2008 12:48 New!
Цитата · Личное сообщение · #24

Hellspawn пишет:
протектор - это не только антиотладка

антиотладка тоже большую роль играет


Ранг: 118.1 (ветеран)
Статус: Участник

Создано: 11 сентября 2008 12:59 · Поправил: Loco New!
Цитата · Личное сообщение · #25

borov
Павке виднее


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 11 сентября 2008 16:03 New!
Цитата · Личное сообщение · #26

Loco пишет:
Павке виднее

виднее, не виднее, но антиотладка тоже не последнюю роль играет

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 11 сентября 2008 16:16 New!
Цитата · Личное сообщение · #27

borov пишет:
но антиотладка тоже не последнюю роль играет

;) Ага это если ты берешь какие нить сырки паблик , открываешь чтиво "антиотладочные приемы " и натыкиваешь их в алфавитном порядке .. В итоге рожаешь уродца который запускается на 1 машине из 100.. Выкладываешь его где нить и снимает его только тот у кого он запустился высокая устоичивость к взлому твоему проту гарантирована ))


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 11 сентября 2008 17:12 New!
Цитата · Личное сообщение · #28

pavka пишет:
хороший протектор это вообще не антиотладка

+1

borov пишет:
виднее, не виднее, но антиотладка тоже не последнюю роль играет

Только для ньюбов, для остальных вообще не играет никакой роли. Первые релизы криптора, когда даже отладчик запустить не могли инлайнили и анпакали также как щас, только щас народу больше это умеет.


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 11 сентября 2008 19:38 New!
Цитата · Личное сообщение · #29

Вам виднее ...


Ранг: 660.7 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 15 сентября 2008 13:18 · Поправил: ARCHANGEL New!
Цитата · Личное сообщение · #30

Что вы тут за спор начали? Протектор - антиотладка или упаковка... Вам что, занятся нечем? Тем более, что PE_Kill прав на все 100%. Каждый раз, когда появляются новые антиотладочные трюки, пугают они только нубов, на самом деле, любой антиотладочный приём можно найти и попытаться обойти, всё зависит только от того, кто пытается. Не верите? Можем проверить! Жду ваших предложений

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 15 сентября 2008 13:28 New!
Цитата · Личное сообщение · #31

ARCHANGEL пишет:
любой антиотладочный приём иожно найти и попытаться обойти, всё зависит только от того, кто пытается. Не верите? Можем проверить! Жду ваших предложений

Ты чего это серьезно что ли? Ну раз ты такой лихой покажи нам на примере лениного прота самой слабой версии стандарт как ты это делаешь Хотя наверное для такого ухореза это слишком просто тогда на ультимейт попробуй ))
<< . 1 . 2 . 3 . 4 . 5 . >>
 eXeL@B —› Основной форум —› Антиотладочные приемы

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS