eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: Nikita1 (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Основной форум —› Антиотладочные приемы
<< . 1 . 2 . 3 . 4 . 5 . >>
Посл.ответ Сообщение

Ранг: 105.9 (ветеран)
Статус: Участник

Создано: 6 июля 2008 12:07 · Поправил: Sturgeon New!
Цитата · Личное сообщение · #1

На днях откопал свою писульку про антиотладку. В свое время собирал всякий материал, в основном английский, переводил и собирал во одну доку. Вот решил выложить, чтобы попинали.
Может кому-то из чайников вроде меня пригодится. Хотя, конечно, хочется, чтобы кто-то из опытных реверсеров посмотрел и указал на ошибки, неточности перевода и т.д.

Ранг: 105.9 (ветеран)
Статус: Участник

Создано: 15 сентября 2008 13:44 New!
Цитата · Личное сообщение · #2

Кстати, такой вопрос, больше теоретический.
Если протектор это не антиотладка, то тогда что? Использование багов в крякерском софте? Использование недокументированных возмоностей ОС? И что тогда такое антиотладка?

А ссылку на Ленин прот самой слабой версии можно?


Ранг: 539.8 (!)
Статус: Участник
оптимист

Создано: 15 сентября 2008 13:46 · Поправил: ClockMan New!
Цитата · Личное сообщение · #3

pavka пишет:Ну раз ты такой лихой покажи нам на примере лениного прота...данет есть вещь получше декомпилятор --> Ex4 to Mq4 <-- http://www.rapidshare.ru/760548 Ну что осилишь ARCHANGEL

Ранг: 441.1 (мудрец)
Статус: Участник

Создано: 15 сентября 2008 13:52 · Поправил: tihiy_grom New!
Цитата · Личное сообщение · #4

ClockMan
Решил что нахаляву заломают VM? ;)

Выложите у кого есть и стандарт и ультимэйт версии

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 15 сентября 2008 16:31 New!
Цитата · Личное сообщение · #5

ClockMan пишет:
.данет есть вещь получше декомпилятор

А причем тут ВМ ? в ЛАРП кроме антотладки ни чего больше нет


Ранг: 660.9 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 15 сентября 2008 17:04 · Поправил: ARCHANGEL New!
Цитата · Личное сообщение · #6

pavka
Может, конкретный файл выложишь? Не буду ж я бегать по всему инету в поисках этого твоего Ленина!
А так выложи этот свой стандарт - нам ведь главное принцип, правда? Так что стандарта вполне достаточно, ну, давай, весь мир замер в ожидании
Clockman
А поменьше ничего не нашлось?


Ранг: 660.9 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 15 сентября 2008 20:55 New!
Цитата · Личное сообщение · #7

ClockMan
Скачал этот твой декомпилятор - в качестве примера исследуем первый антиотладочный приём. Я загрузил файл в ольку, и она сразу закрылась без всяких сообщений об ошибке. Антиотладка, однако. Чем там оно запаковано - не знаю, я человек, наверное, тёмный, никогда такого не встречал. Тем не менее, удалось выяснить, что ошибка происходит не в самом отладчике, а в библиотеке DBGHELP.dll, пофиксив эту библу, мы можем прекрасно запустить прогу под олькой и остановиться на TLS callback. Как всё это сделать, как это было обнаружено и всё такое вы узнаете чуть позже...
А про распаковку - ребята, я же говорил про обход антиотладки, а распаковка - это вы уж сами


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 15 сентября 2008 21:15 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #8

ARCHANGEL пишет:
пофиксив эту библу, мы можем прекрасно запустить прогу под олькой и остановиться на TLS callback


ну а дальше то??? неужели больше там ничего нету?


Ранг: 660.9 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 15 сентября 2008 23:16 New!
Цитата · Личное сообщение · #9

Hellspawn пишет:
ну а дальше то??? неужели больше там ничего нету?
Да есть, конечно, но цель ведь не снять прот, а показать, как обходятся антиотладочные трюки, на одном я показал, а дальше нет никакого желания, т.е. не показал, а покажу - хочу более подробно и наглядно расписать.


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 16 сентября 2008 00:27 New!
Цитата · Личное сообщение · #10

pavka, дай ему ультимат - в целях уменьшения спеси.

ARCHANGEL пишет:
А так выложи этот свой стандарт - нам ведь главное принцип, правда? Так что стандарта вполне достаточно, ну, давай, весь мир замер в ожидании


Нет, для крутых - только варёные яйца, ака ультимат.

ARCHANGEL пишет:
на одном я показал, а дальше нет никакого желания


Даже не смешно. Ты и на ленином так же будешь: вот тут у нас анти, основанный на tls, а дальше никакого желания нет.


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 16 сентября 2008 00:36 New!
Цитата · Личное сообщение · #11

ARCHANGEL пишет:
наглядно расписать

топстартер выложил колекцию статей "Антиотладочные приемы", а ты хочешь выпустить "Антиотладочные приемы. И борьба с ними"?

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 16 сентября 2008 08:34 New!
Цитата · Личное сообщение · #12

Распакованый файл не нужен ;) его любой лох распакует за пару минут
ARCHANGEL пишет:
любой антиотладочный приём можно найти и попытаться обойти, всё зависит только от того, кто пытается. Не верите? Можем проверить! Жду ваших предложений

Нужно только загузить в олю и показать всем как ты будешь топать до оеп ;) Надеюсь к вечеру расскажешь


{ Атач доступен только для участников форума } - lARP 2.0 Unpackme.rar

Ранг: 64.4 (постоянный)
Статус: Участник

Создано: 16 сентября 2008 14:13 New!
Цитата · Личное сообщение · #13

ARCHANGEL пишет:
Может, конкретный файл выложишь? Не буду ж я бегать по всему инету в поисках этого твоего Ленина!

тулзы от ARTeam, ну наврное и другие RCE.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 17 сентября 2008 15:55 New!
Цитата · Личное сообщение · #14

ARCHANGEL пишет:
ребята, я же говорил про обход антиотладки

и где?


Ранг: 660.9 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 17 сентября 2008 16:05 New!
Цитата · Личное сообщение · #15

pavka пишет:
Распакованый файл не нужен ;) его любой лох распакует за пару минут
Это уже и мне интересно, как, подчёркиваю, ЛЮБОЙ ЛОХ распакует ex4 to Mq4, можно с этого места поподробнее?
Нужно только загузить в олю и показать всем как ты будешь топать до оеп ;) Надеюсь к вечеру расскажешь
Не всё нужно делать так тупо: загрузил в отладчик, зажал F8 и поехал, есть и другие методы
и где?
И вот

{ Атач доступен только для участников форума } - Unpacked.rar

Ранг: 159.1 (ветеран)
Статус: Участник

Создано: 17 сентября 2008 16:12 · Поправил: tempread New!
Цитата · Личное сообщение · #16

ARCHANGEL
ЛЮБОЙ ЛОХ распакует ex4 to Mq4, можно с этого места поподробнее?


pavka имел ввиду lARP 2.0 Unpackme.rar , а не ex4 to Mq4

ARCHANGEL
Не всё нужно делать так тупо: загрузил в отладчик, зажал F8 и поехал, есть и другие методы

Но речь же идет об антиотладке в академическом смысле, а не о том как распаковывать.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 17 сентября 2008 16:25 New!
Цитата · Личное сообщение · #17

ARCHANGEL
Ты как в том анекдоте про исполнительных но не внимательных или просто придуриваешься?
ARCHANGEL пишет:
А так выложи этот свой стандарт - нам ведь главное принцип, правда? Так что стандарта вполне достаточно, ну, давай, весь мир замер в ожидании

pavka пишет:
lARP 2.0 Unpackme.rar

Для особо одаренных анпак не нужен речь идет только об аниотладке именно академическом смысле, а не о том как распаковывать. т.е тупо загрузил в отладчик и дотопал до оеп для других методов есть другой апакми )


Ранг: 660.9 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 17 сентября 2008 16:27 New!
Цитата · Личное сообщение · #18

tempread пишет:
pavka имел ввиду lARP 2.0 Unpackme.rar , а не ex4 to Mq4
А, ну тогда согласен - действительно легко снимается
Но речь же идет об антиотладке в академическом смысле, а не о том как распаковывать.
Это да, но обход антиотладки следует тоже воспринимать как нечто академическое, например, все читали известную статью Ms-Rem про перехват АПИ, так вот, в третьей части, где описываются методы перехвата в ядре, описан способ выхода в нулевое кольцо через обьект "секция", а для этого там нужно выполнить (ну, вообще много чего, но мы про основное) far call, который, собственно, и будет началом ядра, так вот, если отлаживать это под олькой, то упадёт вся система, это это не баг - такое случиться при использовании любого отладчика третьего кольца, а вот Soft-Ice нормально справится, так что же тогда, с академической точки зрения это нельзя обойти? Так ведь это даже не антиотладка как таковая.


Ранг: 660.9 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 17 сентября 2008 16:40 New!
Цитата · Личное сообщение · #19

pavka пишет:
Ты как в том анекдоте про исполнительных но не внимательных или просто придуриваешься?
Да? Ну тогда я скажу, кто тут придуривается. Цитирую:

0040F9B5 F7D8 NEG EAX
0040F9B7 3D 706F6F6F CMP EAX,6F6F6F70 <---------chek if fill nop call
0040F9BC 75 06 JNZ SHORT lARP_2_0.0040F9C4
0040F9BE 8D9D 061A4000 LEA EBX,DWORD PTR SS:[EBP+401A06]
0040F9C4 830424 02 ADD DWORD PTR SS:[ESP],2
0040F9C8 C3 RETN
0040F9C9 75 00 JNZ SHORT lARP_2_0.0040F9CB

Дальше:

Clean unnecessary call and it will be easier to you to investigate a code. Example:
call ХХХХХХХ
ADD DWORD PTR SS:[ESP],2
C3 RETN
call ХХХХХХХ
ADD DWORD PTR SS:[ESP],1
C3 RETN
call ХХХХХХХ
ADD DWORD PTR SS:[ESP],5
C3 RETN

Всё, что тут только что было написано, принадлежит нашему дорогому другу pavka.
А дальше, как говориться, no comments:

pavka even restored the stolen bytes but jstorme gets the kiss for being first!

Thanks for your interest,

lena151.

Всё это можно найти по адресу: forum.tuts4you.com/index.php?showtopic=14696
Всё это я нашёл пару часов назад. Я, например, делал вообще не так, совершенно не так. Но, возвращаемся к основному вопросу - КТО ТУТ ПОСЛЕ ЭТОГО ПРИДУРИВАЕТСЯ?

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 17 сентября 2008 16:40 New!
Цитата · Личное сообщение · #20

ARCHANGEL
Ну вобщем ясно все Началась демагогия ... попросту если без экивоков ты не тот от которого все зависит? ;))


Ранг: 660.9 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 17 сентября 2008 16:43 New!
Цитата · Личное сообщение · #21

pavka
попросту если без экивоков - от меня зависит не всё

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 17 сентября 2008 17:00 New!
Цитата · Личное сообщение · #22

ARCHANGEL пишет:
pavka even restored the stolen bytes but jstorme gets the kiss for being first!

это ты в смысле уесть меня хотел таким образом ? так вопросы приоритета мне по барабану да и чел выложил буквально минутами раньше Тем более поначалу было интересно почисть код и посмотреть что к чему к тому же спертые быйты у меня восстановлены ))
ARCHANGEL пишет:
попросту если без экивоков - от меня зависит не всё



Ранг: 660.9 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 17 сентября 2008 17:05 New!
Цитата · Личное сообщение · #23

pavka пишет:
спертые быйты у меня восстановлены
Ага, целых три, а там больше нету, и восстановить можно на глаз. А уесть я никого не хотел, я мирный и спокойный, это вы все меня хотите уесть и обидеть Как будто, не одно дело делаем


Ранг: 1998.8 (!!!!)
Статус: Модератор
retired

Создано: 17 сентября 2008 18:29 New!
Цитата · Личное сообщение · #24

Ну это Архангел высказал желание разобраться и порвать как тузик грелку любую антиотладку, а теперь как-то уже жалуется, что его все уели и обидели, когда он вместо того, чтобы написать что-то вроде антиотладка вот тут и тут такая-то, обойти так-то, начал писать, что люди придуриваются на других форумах.
Неправ товарищ, но срач всё равно отставить, наказывать буду.

Ранг: 133.4 (ветеран)
Статус: Участник

Создано: 26 ноября 2008 23:30 New!
Цитата · Личное сообщение · #25

По поводу ReadFile и WriteProcessMemory.

Эти API могут использоваться не только для снятия программных бряков, но и для восстановления довольно больших кусков кода. Хотя это уже скорее не антиотладка, а защита от патча.
Когда сталкиваешся с таким первый раз, с толку немного сбивает.


Ранг: 169.6 (ветеран)
Статус: Участник

Создано: 27 ноября 2008 08:08 New!
Цитата · Личное сообщение · #26

SVLab пишет:
защита от патча.

Например, в PExplorer. Причем срабатывает не сразу, а после пары десятков запусков


Ранг: 274.9 (наставник)
Статус: Участник
Advisor

Создано: 28 ноября 2008 10:59 New!
Цитата · Личное сообщение · #27

gazlan пишет:
Причем срабатывает не сразу, а после пары десятков запусков

Да нет, она почти что в "фоновом" режиме работает. И из винды нт одного старта не пропустит...
//если прамять не изменяет...


Ранг: 169.6 (ветеран)
Статус: Участник

Создано: 28 ноября 2008 12:07 New!
Цитата · Личное сообщение · #28

Bronco пишет:
Да нет, она почти что в "фоновом" режиме работает. И из винды нт одного старта не пропустит...

Давно смотрел, но в разных версиях было по 17-18 запусков перед патчем. Возможно, уже поменялось.


Статус: Пришелец

Создано: 2 января 2009 00:53 New!
Цитата #29

Code:
  1. call GetTickCount
  2. mov     ds:dword_0_9AE104, eax
  3. _label:
  4. call GetTickCount
  5. cmp     eax,ds:dword_0_9AE104
  6. jz _label


Вот на этом коде обломался IDA Stealth v1.0 BETA 3

Функция всегда возвращает 0, получаем бесконечный цикл. Все параметры обхода GetTickCount перепробовал...


Ранг: 481.4 (мудрец)
Статус: Участник
Тот самый :)

Создано: 3 января 2009 00:23 · Поправил: Hexxx New!
Цитата · Личное сообщение · #30

бесконечный цикл длиной 1 милисекунда.

Решил тоже прочитать доку про антиотладку. Увидел "Украденные байты", аж прослезился
Я когда-то поприколу их так назвал когда они в Asprotect'e только появились, а оно оказывается в историю вошло

Так как эта информация исходит из ядра, из юзер-модного режима нет никакой возможности скрыть присутствие отладчика.
Странная надпись. Ведь ни что не мешает хучить NtDll.dll

Как жаль что в документе забыт антиотладочный прием юзаемый в старфорс (замена векторов прерываний INT1 и INT3)


Статус: Пришелец

Создано: 3 января 2009 00:27 · Поправил: progopis New!
Цитата #31

Hexxx
Да нет. Ты не прав. Ставил бряк после
Code:
  1. jz _label
- так туда и не попадал. Лечил, нажав паузу в отладчике и [Esc]. Далее вручную переставил указатель EIP. Так что не надо!

P.S. Могу дать тебе программу, которая содержала этот код и расписать используемый мной набор плагинов, хотя IDA Stealth достаточно.
<< . 1 . 2 . 3 . 4 . 5 . >>
 eXeL@B —› Основной форум —› Антиотладочные приемы

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS