Сейчас на форуме: zds, -Sanchez- (+9 невидимых)

 [email protected] —› Протекторы —› Анти-дебаг нового обсидиума
Посл.ответ Сообщение


Ранг: 303.7 (мудрец), 4thx
Активность: 0.190
Статус: Участник
tPORt Manager

Создано: 14 октября 2005 16:09
· Личное сообщение · #1

Блин, авторы добавили какие-то новые приёмы, олю палят железно Чё делать не знаю, исследовать лень Может кто уже исследовал? Поделитесь инфой. Импорт тоже по старому методу не восстанавливается (метод лавбума) Почитали видать статьи. Но импорт - не пролема, анти-дебаг - проблема.



Ранг: 450.1 (мудрец)
Активность: 0.260
Статус: Участник

Создано: 14 октября 2005 20:13
· Личное сообщение · #2

вроде смотреть нужно начиная с OpenProcess,
к сожалению сам проверить не могу - нет под рукой необходимых
инструментов, буду дома гляну




Ранг: 332.0 (мудрец)
Активность: 0.180
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 14 октября 2005 23:57
· Личное сообщение · #3

Bit-hack пишет:
олю палят железно

гыыы, где ? ))) скачал сейчас 1.3 он запускаецца под олли, импорт ОЧЕНЬ похож на тот который был раньше.
Вообщем на первый взгляд отличий от 1.2.5 я не заметил (разве что в обработке импорта опять появился мусорный код, который до этого был в более ранних версиях пакера) ;)




Ранг: 303.7 (мудрец), 4thx
Активность: 0.190
Статус: Участник
tPORt Manager

Создано: 15 октября 2005 06:54
· Личное сообщение · #4

Mario555 пишет:
скачал сейчас 1.3 он запускаецца под олли

Хм, у тебя какие полагины стоят? У меня чёт не хочет, вырубается или говорит, что отладичк замечен, вырубаемся.
Mario555 пишет:
импорт ОЧЕНЬ похож на тот который был раньше

Ну сам переходники-то да, а вот цикл создания, который можно пропатчить по методу лавбума, поменялся с децл Надо опять искать сингатуры...



Ранг: 450.1 (мудрец)
Активность: 0.260
Статус: Участник

Создано: 15 октября 2005 13:38
· Личное сообщение · #5

Mario555 пишет:
гыыы, где ? ))) скачал сейчас 1.3 он запускаецца под олли


У меня не запускается. Ты, кстати, SP2 поставил?
может под SP1 оно и не ловит ;)




Ранг: 303.7 (мудрец), 4thx
Активность: 0.190
Статус: Участник
tPORt Manager

Создано: 15 октября 2005 15:48
· Личное сообщение · #6

Asterix пишет:
может под SP1 оно и не ловит ;)

Хе, врятли с СП меняется ядро винды. Разберёшься сам, или помочь? Я знаком со структурой обсидиума, могу в принципе помочь где надо.
А, и тебеже в догонку, у меня при запуске оли в логе пишет, что невозможно активировать защиту от terminateprocess. К чему-бы это? Это баг?



Ранг: 450.1 (мудрец)
Активность: 0.260
Статус: Участник

Создано: 15 октября 2005 19:09
· Личное сообщение · #7

Bit-hack пишет:
Хе, врятли с СП меняется ядро винды.


Оно даже после некоторых критических апдейтов меняется.

Bit-hack пишет:
у меня при запуске оли в логе пишет, что невозможно активировать защиту от terminateprocess. К чему-бы это? Это баг?


Я знаю, это не баг, но будет исправлено в следующем релизе,
просто в момент написания кода у меня небыло XP SP2

Bit-hack пишет:
Разберёшься сам, или помочь?


не знаю когда это будет, т.к. я сейчас в разъездах,
так что если кто разберется - кидайте инфу сюда




Ранг: 303.7 (мудрец), 4thx
Активность: 0.190
Статус: Участник
tPORt Manager

Создано: 15 октября 2005 19:12
· Личное сообщение · #8

Asterix пишет:
так что если кто разберется - кидайте инфу сюда

Ок, как найду время - потрейсю главный цикл

Asterix пишет:
Я знаю, это не баг

А нельзя-ли немного про этот метод, как он работает?




Ранг: 332.0 (мудрец)
Активность: 0.180
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 15 октября 2005 22:54
· Личное сообщение · #9

Bit-hack пишет:
а вот цикл создания, который можно пропатчить по методу лавбума

ну хз, я никаких циклов не патчил, импорт скриптом, а про лавбума и его метод вообще ниибу =)

Asterix пишет:
Ты, кстати, SP2 поставил?

поставил на новый комп корпорейт эдишен со всеми СП, но под неё я ещё ничего не устанавливал =), а обсидиум запускал под первым SP, в котором твой плуг с terminateprocess прекрасно справляеццо.




Ранг: 303.7 (мудрец), 4thx
Активность: 0.190
Статус: Участник
tPORt Manager

Создано: 16 октября 2005 09:35
· Личное сообщение · #10

Mario555 пишет:
я никаких циклов не патчил

Не, просто проще: пропатчил несколько байт в цикле и всё, импорт почти целый.

Mario555 пишет:
в котором твой плуг с terminateprocess прекрасно справляеццо.

Мистика. А у тебя файл оллидбг.ини переименован?



Ранг: 450.1 (мудрец)
Активность: 0.260
Статус: Участник

Создано: 16 октября 2005 14:53
· Личное сообщение · #11

Mario555 пишет:
а обсидиум запускал под первым SP, в котором твой плуг с terminateprocess прекрасно справляеццо.


попробуй отключить эту опцию и еще раз запустить, запускается?




Ранг: 332.0 (мудрец)
Активность: 0.180
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 16 октября 2005 23:59
· Личное сообщение · #12

Asterix пишет:
попробуй отключить эту опцию и еще раз запустить, запускается?

не-а, с отключённой защитой в плагине обсидиум получает доступ к памяти процесса олли и чего-то там копается (вроде в heap`е, хотя не уверен)...
PS что-то от этого SP2 только проблемы, пользы я пока не заметил =)




Ранг: 199.6 (ветеран), 12thx
Активность: 0.10
Статус: Участник
www.uinc.ru

Создано: 17 октября 2005 02:14
· Личное сообщение · #13

Давно пора научиться распаковывать программы не запуская их, тем более под отладчиком. В большинстве случаев быстрее разбрать прогу в статике чем бодаться с антиодладкой. Хотя кончено кому как нравится )




Ранг: 303.7 (мудрец), 4thx
Активность: 0.190
Статус: Участник
tPORt Manager

Создано: 17 октября 2005 05:44
· Личное сообщение · #14

DrGolova пишет:
Давно пора научиться распаковывать программы не запуская их

Доктор, можно написать статику, но такой анпакер будет только до следующей версии, т.к. он перестанет работать из-за малейших изменений, а вот анпакер-трейсер не заметит небольших изменений кода. Хотя конечно кому как нравится )



Ранг: 28.6 (посетитель)
Активность: 0.010
Статус: Участник

Создано: 17 октября 2005 10:11
· Личное сообщение · #15

Bit-hack
Ты зря считаешь, что функции распаковки протекторов меняются с каждой версией .
Остальное пофиксить не проблема.



Ранг: 450.1 (мудрец)
Активность: 0.260
Статус: Участник

Создано: 17 октября 2005 11:22
· Личное сообщение · #16

Mario555 пишет:
с отключённой защитой в плагине обсидиум получает доступ к памяти процесса олли и чего-то там копается (вроде в heap`е


Гы, тогда нужно поправить код раз фича такая нужная,
и еще отдельно прикрутить защиту от ReadProcessMemory на
случай если процесс будет открыт через native API


 [email protected] —› Протекторы —› Анти-дебаг нового обсидиума
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати