На днях откопал свою писульку про антиотладку. В свое время собирал всякий материал, в основном английский, переводил и собирал во одну доку. Вот решил выложить, чтобы попинали.
Может кому-то из чайников вроде меня пригодится. Хотя, конечно, хочется, чтобы кто-то из опытных реверсеров посмотрел и указал на ошибки, неточности перевода и т.д.

| Сообщение посчитали полезным:

Спасибо огромное за исходник и совет. Я реально крот,что у апокса этот сорец не заметил)))

| Сообщение посчитали полезным:

Sturgeon пишет:
Antidebug Tester.
Шикарные трюки... с нисчего обнаружил отладчик 2 методами.

| Сообщение посчитали полезным:

Чуется мне ща вся эта баланда появится в протах Flashback/TMX и g-l-u-k.

-----
may all your PUSHes be POPed!

| Сообщение посчитали полезным:

Guru_eXe пишет:
Чуется мне ща вся эта баланда появится в протах Flashback/TMX и g-l-u-k.
g-l-u-k, тоже из TMX , а думаю везде поменять Flashback на Flashback/TMX, а то я далеко не один Flashback. Часть и так есть, ты же мне дал или я нашел английскую версию статьи с которой был сделан русский аналог. Ты потрейс и посмотри.

| Сообщение посчитали полезным:

свое бы что нибудь придумали, а то бояны юзать ума много не надо ;)

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon пишет:
свое бы что нибудь придумали, а то бояны юзать ума много не надо ;)
я и так придумал

| Сообщение посчитали полезным:

Smon пишет:
свое бы что нибудь придумали, а то бояны юзать ума много не надо ;)
MeltICE для Syser можно считать не баяном? Хотя обходится за пару минут патчем 4-х его драйверов...

progopis пишет:
IDA пропускает несколько команд, действие которых можно отменить - и там ставит бряк...
Гон - бряк сразу после call'а. Баг был в моей проге...

progopis пишет:
А вот SoftiCE никаких там 0xCC вроде бы не ставит
SoftICE 4.3.2.1 попался на Hardware (не факт что он так обходит call'ы, но других вариантов пока не вижу). Но! Прошу заценить содержимое DrX-регистров (всё в hex):
Dr0=17
Dr1=17
Dr2=bdfc25b9
Dr3=0
Зачем такие бряки???

| Сообщение посчитали полезным:

А вариант не там посмотрел ДР регистры катит? Ибо больше идей никаких нет.

| Сообщение посчитали полезным:

Archer пишет:
А вариант не там посмотрел ДР регистры катит? Ибо больше идей никаких нет.
В процедуре делаем исключение, в обработчике сохраняем DrX регистры (первые 4) и печатаем через _sprintf.

Ставил бряки в OllyDbg и запускал - реально показывает регистры, которые можно увидеть в окне OllyDbg - Hardware Breakpoints.

То же самое в SoftICE - при проходе через call на эту процедуру по F10 - trace over - отладчик вырубается и вылетает мессага с этими регистрами. Проверял несколькими запусками. Все остальные отладчики (а это Syser 1.97, OllyDbg 1.10 и 2.00 (alpha 5), IDA 5.0, MS VS Dbg 6.5, Intel Enhanced Debugger 7...) ставят бряк Int3 (0xCCh) после КОПа call'а...

Буду копать дальше...

| Сообщение посчитали полезным:

У Hellsp@wn'а была программа показывающая методы обнаружения отладчика (дофига методов) EDD помоему.

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

coderess, и что?

| Сообщение посчитали полезным:

coderess пишет:
У Hellsp@wn'а была программа показывающая методы обнаружения отладчика (дофига методов) EDD помоему.
Ну не дофига, и в этих антиотладочных трюках гораздо больше описано всяких фишек

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Нихрена не качает - ни ослик ни козлик, ни огненный лис
Выложите, пожалуйста в нормальном месте кто-нибудь, у кого архивы не бьются

| Сообщение посчитали полезным:

Мне кажется, целесообразно было бы упомянуть о приёмах, которые могут иметь место при использовании плагинов в Ольке (соответственно в разделе про Ольку), например, Olly Advanced выполняет хуки к третьем кольце защиты в самой проге, поэтому при обнаружении такого хука можно подумать про присутствие отладчика, или при использовании Фантома процесс нельзя открыть через OpenProcess, что можно использовать, к примеру, если потом править контекст одного из потоков, предварительно получая хэндл этого потока, то при использовании Фантома получим маленький подарок, конечно, это только пример, но, думаю, суть уловили все.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Прочёл классная вещь! Да многие счас начнут выёживаться типа ЭЭэээ...... да это фигня!!! вот если бы..... да еслибы про ....... тогда..... а это........ Короче парни кто такой умный не пишите ничего! а как сказал один не глупый человек НОВОЕ-ХОРОШО ЗАБЫТОЕ СТАРОЕ! хотите новые способы анти* совершенствуйте старые придумывайте новые фишки! - моё мнение!

| Сообщение посчитали полезным:

lobs пишет:
Прочёл классная вещь!
Полностью согласен.
Да многие счас начнут выёживаться типа ЭЭэээ...... да это фигня!!! вот если бы..... да еслибы про ....... тогда..... а это........
Я не выёживаюсь, просто советую, что, по-моему, нужно добавить, и я не хотел тут никого обидеть, автору респект

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

да, вещь не плохая, аж самому захотелось протектор написать на этих примерах

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Мне кажется, целесообразно было бы упомянуть о приёмах, которые могут иметь место при использовании плагинов в Ольке (соответственно в разделе про Ольку)

я как разработчик плага протев однозначно. давайте выложим ещё и приватные баги ольги, чтобы окончательно завалить отладчик и реверся очередную прогу, натыкаться на непонятные косяки и так уже старенькой ольги. вот выйдет релиз 2.0, то будет новый виток, там посмотрим.

з.ы. это только моё имхо.
з.ы.ы. кому надо - сам найдёт, а кто не нашёл - значит и не особо надо ему.

ARCHANGEL пишет:
Ну не дофига, и в этих антиотладочных трюках гораздо больше описано всяких фишек

он про другое говорил, теория и практика вообще то разняться

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
давайте выложим ещё и приватные баги ольги, чтобы окончательно завалить отладчик и реверся очередную прогу, натыкаться на непонятные косяки и так уже старенькой ольги.
+1 Ты прав, не надо выложивать эти приёмы.

Hellspawn пишет:
вот выйдет релиз 2.0, то будет новый виток, там посмотрим.
Даже когда выйдет 2.0 , всеравно не надо выложивать эти баги, зачем ?! Не ну можно выложить,
и будет лишние проблемы при ковырянии очередного протектора или программы.

-----
PSP-Gamer.ru

| Сообщение посчитали полезным:

пусть это будет на совесть автора

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

borov пишет:
да, вещь не плохая, аж самому захотелось протектор написать на этих примерах

протектор - это не только антиотладка ;) за примерами далеко ходить не надо.

borov пишет:
пусть это будет на совесть автора

согласен.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
протектор - это не только антиотладка ;) за примерами далеко ходить не надо.
+1
хороший протектор это вообще не антиотладка

| Сообщение посчитали полезным:

Hellspawn пишет:
протектор - это не только антиотладка
антиотладка тоже большую роль играет

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

borov
Павке виднее

-----
PSP-Gamer.ru

| Сообщение посчитали полезным:

Loco пишет:
Павке виднее
виднее, не виднее, но антиотладка тоже не последнюю роль играет

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

borov пишет:
но антиотладка тоже не последнюю роль играет
;) Ага это если ты берешь какие нить сырки паблик , открываешь чтиво "антиотладочные приемы " и натыкиваешь их в алфавитном порядке .. В итоге рожаешь уродца который запускается на 1 машине из 100.. Выкладываешь его где нить и снимает его только тот у кого он запустился высокая устоичивость к взлому твоему проту гарантирована ))

| Сообщение посчитали полезным:

pavka пишет:
хороший протектор это вообще не антиотладка
+1

borov пишет:
виднее, не виднее, но антиотладка тоже не последнюю роль играет
Только для ньюбов, для остальных вообще не играет никакой роли. Первые релизы криптора, когда даже отладчик запустить не могли инлайнили и анпакали также как щас, только щас народу больше это умеет.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Вам виднее ...

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

Что вы тут за спор начали? Протектор - антиотладка или упаковка... Вам что, занятся нечем? Тем более, что PE_Kill прав на все 100%. Каждый раз, когда появляются новые антиотладочные трюки, пугают они только нубов, на самом деле, любой антиотладочный приём можно найти и попытаться обойти, всё зависит только от того, кто пытается. Не верите? Можем проверить! Жду ваших предложений

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
любой антиотладочный приём иожно найти и попытаться обойти, всё зависит только от того, кто пытается. Не верите? Можем проверить! Жду ваших предложений
Ты чего это серьезно что ли? Ну раз ты такой лихой покажи нам на примере лениного прота самой слабой версии стандарт как ты это делаешь Хотя наверное для такого ухореза это слишком просто тогда на ультимейт попробуй ))

| Сообщение посчитали полезным: