На днях откопал свою писульку про антиотладку. В свое время собирал всякий материал, в основном английский, переводил и собирал во одну доку. Вот решил выложить, чтобы попинали.
Может кому-то из чайников вроде меня пригодится. Хотя, конечно, хочется, чтобы кто-то из опытных реверсеров посмотрел и указал на ошибки, неточности перевода и т.д.

| Сообщение посчитали полезным:

Кстати, такой вопрос, больше теоретический.
Если протектор это не антиотладка, то тогда что? Использование багов в крякерском софте? Использование недокументированных возмоностей ОС? И что тогда такое антиотладка?

А ссылку на Ленин прот самой слабой версии можно?

| Сообщение посчитали полезным:

pavka пишет:Ну раз ты такой лихой покажи нам на примере лениного прота...данет есть вещь получше декомпилятор --> Ex4 to Mq4 <-- http://www.rapidshare.ru/760548 Ну что осилишь ARCHANGEL

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan
Решил что нахаляву заломают VM? ;)

Выложите у кого есть и стандарт и ультимэйт версии

| Сообщение посчитали полезным:

ClockMan пишет:
.данет есть вещь получше декомпилятор
А причем тут ВМ ? в ЛАРП кроме антотладки ни чего больше нет

| Сообщение посчитали полезным:

pavka
Может, конкретный файл выложишь? Не буду ж я бегать по всему инету в поисках этого твоего Ленина!
А так выложи этот свой стандарт - нам ведь главное принцип, правда? Так что стандарта вполне достаточно, ну, давай, весь мир замер в ожидании
Clockman
А поменьше ничего не нашлось?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ClockMan
Скачал этот твой декомпилятор - в качестве примера исследуем первый антиотладочный приём. Я загрузил файл в ольку, и она сразу закрылась без всяких сообщений об ошибке. Антиотладка, однако. Чем там оно запаковано - не знаю, я человек, наверное, тёмный, никогда такого не встречал. Тем не менее, удалось выяснить, что ошибка происходит не в самом отладчике, а в библиотеке DBGHELP.dll, пофиксив эту библу, мы можем прекрасно запустить прогу под олькой и остановиться на TLS callback. Как всё это сделать, как это было обнаружено и всё такое вы узнаете чуть позже...
А про распаковку - ребята, я же говорил про обход антиотладки, а распаковка - это вы уж сами

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
пофиксив эту библу, мы можем прекрасно запустить прогу под олькой и остановиться на TLS callback

ну а дальше то??? неужели больше там ничего нету?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
ну а дальше то??? неужели больше там ничего нету?
Да есть, конечно, но цель ведь не снять прот, а показать, как обходятся антиотладочные трюки, на одном я показал, а дальше нет никакого желания, т.е. не показал, а покажу - хочу более подробно и наглядно расписать.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

pavka, дай ему ультимат - в целях уменьшения спеси.

ARCHANGEL пишет:
А так выложи этот свой стандарт - нам ведь главное принцип, правда? Так что стандарта вполне достаточно, ну, давай, весь мир замер в ожидании

Нет, для крутых - только варёные яйца, ака ультимат.

ARCHANGEL пишет:
на одном я показал, а дальше нет никакого желания

Даже не смешно. Ты и на ленином так же будешь: вот тут у нас анти, основанный на tls, а дальше никакого желания нет.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
наглядно расписать
топстартер выложил колекцию статей "Антиотладочные приемы", а ты хочешь выпустить "Антиотладочные приемы. И борьба с ними"?

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

Распакованый файл не нужен ;) его любой лох распакует за пару минут
ARCHANGEL пишет:
любой антиотладочный приём можно найти и попытаться обойти, всё зависит только от того, кто пытается. Не верите? Можем проверить! Жду ваших предложений
Нужно только загузить в олю и показать всем как ты будешь топать до оеп ;) Надеюсь к вечеру расскажешь


ed9d_15.09.2008_CRACKLAB.rU.tgz - lARP 2.0 Unpackme.rar

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Может, конкретный файл выложишь? Не буду ж я бегать по всему инету в поисках этого твоего Ленина!
тулзы от ARTeam, ну наврное и другие RCE.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
ребята, я же говорил про обход антиотладки
и где?

| Сообщение посчитали полезным:

pavka пишет:
Распакованый файл не нужен ;) его любой лох распакует за пару минут
Это уже и мне интересно, как, подчёркиваю, ЛЮБОЙ ЛОХ распакует ex4 to Mq4, можно с этого места поподробнее?
Нужно только загузить в олю и показать всем как ты будешь топать до оеп ;) Надеюсь к вечеру расскажешь
Не всё нужно делать так тупо: загрузил в отладчик, зажал F8 и поехал, есть и другие методы
и где?
И вот

450b_17.09.2008_CRACKLAB.rU.tgz - Unpacked.rar

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL
ЛЮБОЙ ЛОХ распакует ex4 to Mq4, можно с этого места поподробнее?


pavka имел ввиду lARP 2.0 Unpackme.rar , а не ex4 to Mq4

ARCHANGEL
Не всё нужно делать так тупо: загрузил в отладчик, зажал F8 и поехал, есть и другие методы

Но речь же идет об антиотладке в академическом смысле, а не о том как распаковывать.

| Сообщение посчитали полезным:

ARCHANGEL
Ты как в том анекдоте про исполнительных но не внимательных или просто придуриваешься?
ARCHANGEL пишет:
А так выложи этот свой стандарт - нам ведь главное принцип, правда? Так что стандарта вполне достаточно, ну, давай, весь мир замер в ожидании
pavka пишет:
lARP 2.0 Unpackme.rar
Для особо одаренных анпак не нужен речь идет только об аниотладке именно академическом смысле, а не о том как распаковывать. т.е тупо загрузил в отладчик и дотопал до оеп для других методов есть другой апакми )

| Сообщение посчитали полезным:

tempread пишет:
pavka имел ввиду lARP 2.0 Unpackme.rar , а не ex4 to Mq4
А, ну тогда согласен - действительно легко снимается
Но речь же идет об антиотладке в академическом смысле, а не о том как распаковывать.
Это да, но обход антиотладки следует тоже воспринимать как нечто академическое, например, все читали известную статью Ms-Rem про перехват АПИ, так вот, в третьей части, где описываются методы перехвата в ядре, описан способ выхода в нулевое кольцо через обьект "секция", а для этого там нужно выполнить (ну, вообще много чего, но мы про основное) far call, который, собственно, и будет началом ядра, так вот, если отлаживать это под олькой, то упадёт вся система, это это не баг - такое случиться при использовании любого отладчика третьего кольца, а вот Soft-Ice нормально справится, так что же тогда, с академической точки зрения это нельзя обойти? Так ведь это даже не антиотладка как таковая.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

pavka пишет:
Ты как в том анекдоте про исполнительных но не внимательных или просто придуриваешься?
Да? Ну тогда я скажу, кто тут придуривается. Цитирую:

0040F9B5 F7D8 NEG EAX
0040F9B7 3D 706F6F6F CMP EAX,6F6F6F70 <---------chek if fill nop call
0040F9BC 75 06 JNZ SHORT lARP_2_0.0040F9C4
0040F9BE 8D9D 061A4000 LEA EBX,DWORD PTR SS:[EBP+401A06]
0040F9C4 830424 02 ADD DWORD PTR SS:[ESP],2
0040F9C8 C3 RETN
0040F9C9 75 00 JNZ SHORT lARP_2_0.0040F9CB

Дальше:

Clean unnecessary call and it will be easier to you to investigate a code. Example:
call ХХХХХХХ
ADD DWORD PTR SS:[ESP],2
C3 RETN
call ХХХХХХХ
ADD DWORD PTR SS:[ESP],1
C3 RETN
call ХХХХХХХ
ADD DWORD PTR SS:[ESP],5
C3 RETN

Всё, что тут только что было написано, принадлежит нашему дорогому другу pavka.
А дальше, как говориться, no comments:

pavka even restored the stolen bytes but jstorme gets the kiss for being first!

Thanks for your interest,

lena151.

Всё это можно найти по адресу: forum.tuts4you.com/showtopic=14696
Всё это я нашёл пару часов назад. Я, например, делал вообще не так, совершенно не так. Но, возвращаемся к основному вопросу - КТО ТУТ ПОСЛЕ ЭТОГО ПРИДУРИВАЕТСЯ?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL
Ну вобщем ясно все Началась демагогия ... попросту если без экивоков ты не тот от которого все зависит? ;))

| Сообщение посчитали полезным:

pavka
попросту если без экивоков - от меня зависит не всё

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
pavka even restored the stolen bytes but jstorme gets the kiss for being first!
это ты в смысле уесть меня хотел таким образом ? так вопросы приоритета мне по барабану да и чел выложил буквально минутами раньше Тем более поначалу было интересно почисть код и посмотреть что к чему к тому же спертые быйты у меня восстановлены ))
ARCHANGEL пишет:
попросту если без экивоков - от меня зависит не всё


| Сообщение посчитали полезным:

pavka пишет:
спертые быйты у меня восстановлены
Ага, целых три, а там больше нету, и восстановить можно на глаз. А уесть я никого не хотел, я мирный и спокойный, это вы все меня хотите уесть и обидеть Как будто, не одно дело делаем

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Ну это Архангел высказал желание разобраться и порвать как тузик грелку любую антиотладку, а теперь как-то уже жалуется, что его все уели и обидели, когда он вместо того, чтобы написать что-то вроде антиотладка вот тут и тут такая-то, обойти так-то, начал писать, что люди придуриваются на других форумах.
Неправ товарищ, но срач всё равно отставить, наказывать буду.

| Сообщение посчитали полезным:

По поводу ReadFile и WriteProcessMemory.

Эти API могут использоваться не только для снятия программных бряков, но и для восстановления довольно больших кусков кода. Хотя это уже скорее не антиотладка, а защита от патча.
Когда сталкиваешся с таким первый раз, с толку немного сбивает.

| Сообщение посчитали полезным:

SVLab пишет:
защита от патча.
Например, в PExplorer. Причем срабатывает не сразу, а после пары десятков запусков

| Сообщение посчитали полезным:

gazlan пишет:
Причем срабатывает не сразу, а после пары десятков запусков
Да нет, она почти что в "фоновом" режиме работает. И из винды нт одного старта не пропустит...
//если прамять не изменяет...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Да нет, она почти что в "фоновом" режиме работает. И из винды нт одного старта не пропустит...
Давно смотрел, но в разных версиях было по 17-18 запусков перед патчем. Возможно, уже поменялось.

| Сообщение посчитали полезным:

Вот на этом коде обломался IDA Stealth v1.0 BETA 3

Функция всегда возвращает 0, получаем бесконечный цикл. Все параметры обхода GetTickCount перепробовал...

| Сообщение посчитали полезным:

бесконечный цикл длиной 1 милисекунда.

Решил тоже прочитать доку про антиотладку. Увидел "Украденные байты", аж прослезился
Я когда-то поприколу их так назвал когда они в Asprotect'e только появились, а оно оказывается в историю вошло

Так как эта информация исходит из ядра, из юзер-модного режима нет никакой возможности скрыть присутствие отладчика.
Странная надпись. Ведь ни что не мешает хучить NtDll.dll

Как жаль что в документе забыт антиотладочный прием юзаемый в старфорс (замена векторов прерываний INT1 и INT3)

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

Hexxx
Да нет. Ты не прав. Ставил бряк после - так туда и не попадал. Лечил, нажав паузу в отладчике и [Esc]. Далее вручную переставил указатель EIP. Так что не надо!

P.S. Могу дать тебе программу, которая содержала этот код и расписать используемый мной набор плагинов, хотя IDA Stealth достаточно.

| Сообщение посчитали полезным: