eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: kurorolucifer (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› Может ли прога вешать отладчик?
Посл.ответ Сообщение

Ранг: 5.8 (гость)
Статус: Участник

Создано: 25 октября 2017 14:08 New!
Цитата · Личное сообщение · #1

Вот такой софт (что-то с электроникой...)
http://rgho.st/7sP7NxHHH
3 Mb.
Почему-то все эксперименты заканчиваются зависанием и Olly, и IDA.
Можете глянуть - это защита такая?


Ранг: 262.5 (наставник)
Статус: Участник
RBC

Создано: 25 октября 2017 14:28 · Поправил: Kindly New!
Цитата · Личное сообщение · #2

да ниче она не вешает, там считать, имхо, надо для разблокировки, так в лоб сходу не запатчишь. код формируется на основе GetVolumeInformation. если есть валидная пара, то самый простой вариант volume id запатчить с ключом.

egorus2010 пишет:
Можете глянуть - это защита такая?

может сразу в запросы?

Ранг: 5.8 (гость)
Статус: Участник

Создано: 25 октября 2017 14:37 · Поправил: egorus2010 New!
Цитата · Личное сообщение · #3

Мне оно не нужно.
Это на другом сайте оно в запросах лежит.
А я так, пробую, для себя...

PS. НУ вот, ввел цыфири в окно регистрации, зашел в Олю, нашел в памяти свою строку, поставил бряк на чтение из памяти.
И всё - висит...
Может, я совсем не так все делаю, в принципе выбора правильного пути.
Но почему зависает-то?
Или это только у меня проблема?

Ранг: 99.6 (постоянный)
Статус: Участник

Создано: 25 октября 2017 18:19 · Поправил: ksol New!
Цитата · Личное сообщение · #4

А может быть вы попробуете проанализировать её в статике, не запуская процесс.
Это не консольное приложение, а оконное? Начните с локализации в коде строки
запроса. Что она запрашивает - имя, а затем пароль? Если так, то что с ними потом делает?
И, конечно, предварительно надо знать упакована программа или нет, и на чём она написана.

Ранг: 376.8 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 25 октября 2017 19:22 New!
Цитата · Личное сообщение · #5

egorus2010 пишет:
зашел в Олю, нашел в памяти свою строку, поставил бряк на чтение из памяти.

Не зависает ничего! Там даже ничем не накрыто - обычный MFC 6.0 с отдельными либами (он strlen даже в библе считает). Зачем бряки на память? GetWindowTextA - на буфере норм всё срабатывает.

начиная отсюда:
Code:
  1. 0046AEF0  |.  81F9 F4010000  CMP ECX,1F4
  2. 0046AEF6  |.  8BC7           MOV EAX,EDI
  3. 0046AEF8  |.  7E 0B          JLE SHORT 0046AF05

потом
Code:
  1. 0046B087  |.  C74424 6C 8D75 MOV DWORD PTR SS:[ESP+6C],99EF758D                ; |
  2. 0046B08F  |.  C74424 68 F1BA MOV DWORD PTR SS:[ESP+68],A96CBAF1                ; |
  3. 0046B097  |.  C74424 64 01BC MOV DWORD PTR SS:[ESP+64],F916BC01                ; |
  4. 0046B09F  |.  C74424 60 D72D MOV DWORD PTR SS:[ESP+60],1C782DD7                ; |
  5. 0046B0A7  |.  C74424 5C F664 MOV DWORD PTR SS:[ESP+5C],68E364F6                ; |
  6. 0046B0AF  |.  C74424 58 EDD9 MOV DWORD PTR SS:[ESP+58],2CCD9ED                 ; |ASCII "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"...
  7. 0046B0B7  |.  C74424 54 A460 MOV DWORD PTR SS:[ESP+54],62E460A4                ; |
  8. 0046B0BF  |.  C74424 50 6737 MOV DWORD PTR SS:[ESP+50],ACFA3767                ; |
  9. 0046B0C7  |.  C74424 4C 34DB MOV DWORD PTR SS:[ESP+4C],7A6FDB34                ; |
  10. 0046B0CF  |.  C74424 48 9E9E MOV DWORD PTR SS:[ESP+48],16419E9E                ; |
  11. 0046B0D7  |.  C74424 44 6A87 MOV DWORD PTR SS:[ESP+44],68C1876A                ; |
  12. 0046B0DF  |.  C74424 40 9477 MOV DWORD PTR SS:[ESP+40],F6C37794                ; |
  13. 0046B0E7  |.  C74424 3C F186 MOV DWORD PTR SS:[ESP+3C],C26986F1                ; |

А это не DES? Что-то похожее...
Kindly пишет:
самый простой вариант volume id запатчить с ключом.

Да нах саму WinAPI патчить - он HWID с самого начала формирует и пихает его в textbox и оттуда уже читает

ИМХО, там должно одним битхаком всё работать - прога древняя, при форсинге мусора через криптоалго ничего не фолтит.


Ранг: 291.1 (наставник)
Статус: Участник

Создано: 25 октября 2017 19:32 New!
Цитата · Личное сообщение · #6

ELF_7719116

Так у тс виснет скорее всего из за антидебага, отключается от отладки процесс/поток, что приводит к висяку отладчика. Вангую что именно так, тоесть это самая основная причина висяка. А у вас не виснет, так эти сервисы фиксятся плагинами.

Ранг: 376.8 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 25 октября 2017 19:36 New!
Цитата · Личное сообщение · #7

difexacaw пишет:
Так у тс виснет скорее всего из за антидебага

Ну да DENUVO накрыто Инфа 146%
Code:
  1. [VersionInfo] Original FileName : SimPLL.exe
  2. [VersionInfo] Internal Name : SimPLL
  3. [VersionInfo] Legal Copyrights : Copyright (C) 2000.2010

Нет там никакого антидебага и плагинами я не пользуюсь. Нечему там виснуть.


Ранг: 291.1 (наставник)
Статус: Участник

Создано: 25 октября 2017 19:42 · Поправил: difexacaw New!
Цитата · Личное сообщение · #8

ELF_7719116

Смотрите, виснут два инструмента, которые связаны лишь отладочным портом. Тоесть логично что причина зависания - прекращение доставки событий на порт. Этому одна причина - отключение процесса/потока от порта, логично ?

Удалите плаги с олли и посмотрите зависнет ли, думаю что так и будет, точнее я даже уверен.

Есть конечно один есчо вариант - загрузка левых фильтров, типо ав. Изначально следовало привести список модулей и плагинов, но как тут принято - будем гадать.

Ранг: 15.7 (новичок)
Статус: Участник

Создано: 25 октября 2017 20:26 New!
Цитата · Личное сообщение · #9

Какие API используются для отключения потока/процесса от отладки?


Ранг: 291.1 (наставник)
Статус: Участник

Создано: 25 октября 2017 20:28 New!
Цитата · Личное сообщение · #10

Lambda

NtRemovePsDebug/NtSetThInfo(HideThrFromDbg). И это первое что фильтрует любой плагин.

| Сообщение посчитали полезным: Lambda



Ранг: 262.5 (наставник)
Статус: Участник
RBC

Создано: 25 октября 2017 21:38 · Поправил: Kindly New!
Цитата · Личное сообщение · #11

ELF_7719116 пишет:
Да нах саму WinAPI патчить - он HWID с самого начала формирует и пихает его в textbox и оттуда уже читает

эм... америку мне открыл
я сказал про самый простой вариант: ключ + патч volume id, к которому он вяжется.
будет читать эту апи при наличии ключа, никуда не денется, там аж три вызова. иначе как прога сверять ключ будет?

добавлено
топикстартер, проделанную работу давай, если хочешь, чтобы тебе подмогли. ломать за тебя мало кто станет. а переминать как ты отладчик запускаешь и с какими плагами, лишь добавит к кондидату на закрытие, имхо.

Ранг: 5.8 (гость)
Статус: Участник

Создано: 25 октября 2017 21:41 · Поправил: egorus2010 New!
Цитата · Личное сообщение · #12

На другом компе не виснет.
Нужно проверять разницу. Или плаги, или в опциях что-то навертел...

Добавлено[t][/t] В общем, это что-то странное.
Я перенес папку Оли с "рабочего" на "зависающий" - вроде заработало, потом снова начало подвисать. Я сюда ответ даже не мог вписать - курсор моргает, а символы не печатаются. Пока принудительно Олю не завершил.
Так что вопрос, наверное, снят.
Ну или напоследок. Оля лезла в Интернет. Файер ее заблокировал. А чего она лезла - не должна вроде?


Ранг: 1986.5 (!!!!)
Статус: Модератор
retired

Создано: 25 октября 2017 22:31 New!
Цитата · Личное сообщение · #13

Хотите дзен-вариант - берёте второй инстанс отладчика и отлаживаете им первый и разбираетесь, где зависло и почему.

| Сообщение посчитали полезным: difexacaw


Ранг: 5.8 (гость)
Статус: Участник

Создано: 26 октября 2017 08:27 · Поправил: egorus2010 New!
Цитата · Личное сообщение · #14

Всем спасибо. Направление понятно.

Ранг: 34.4 (посетитель)
Статус: Участник

Создано: 26 октября 2017 14:38 New!
Цитата · Личное сообщение · #15

также если используется блокирующий сокет и сервер не отвечает.


Ранг: 119.5 (ветеран)
Статус: Участник

Создано: 27 октября 2017 00:07 New!
Цитата · Личное сообщение · #16

egorus2010 пишет:
Это на другом сайте оно в запросах лежит.

а что за сайтец если не секрет ? а то тоже хочится полистать кто чего запрашивает по мимо exelaba)

Ранг: 125.6 (ветеран)
Статус: Участник

Создано: 27 октября 2017 00:18 New!
Цитата · Личное сообщение · #17

SDK пишет:
а что за сайтец если не секрет ?

запрос на сабж

| Сообщение посчитали полезным: SDK

 eXeL@B —› Вопросы новичков —› Может ли прога вешать отладчик?

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS