Ломаю прогу FRAPS (v2.7.1, build: 5499, http://www.fraps.com). http://www.fraps.com). Защита: Armadillo (1 процесс).
(ZOoMiK ее вроде уже сломал, но я сам хочу).
Прога создает 3 потока, и еще ее DLL висит и хучит клавиатурные события.
Есть переменная, которая в один прекрасный момент обнуляется. И я никак не могу отследить
этот момент. Железный бряк не срабатывает именно при записи в этот байт. Везде вокруг срабатывает,
а на этот адрес - нифига! Запускал SuperBPM - тоже бряк не робит. Думал, если она сама дебажные регистры кончает, тоесть вызывает исключение и потом правит поля в структуре CONTEXT, так ведь не вызывает она исключения !! (faults on - поставил, бряк на KiUserExceptionDispatcher). Че за детектив ?
Пользуюсь SoftIce.
Как она еще может вывернуться ?

| Сообщение посчитали полезным:

TOG пипишет (v2.7.1, build: 5499)
У них уже версия 2.7.2 ... они это билды как на заводе штампуют по попводу распаковки юзай
лучше Ольку

| Сообщение посчитали полезным:

Z0oMiK пишет:
по попводу распаковки юзай лучше Ольку

Я ее ломаю не распаковывая, так сказать режу по живому, там и так все понятно, за исключением
этой падлы с обманом bpm. Потом инлайн сделаю.

| Сообщение посчитали полезным:

Там вообщем Import Elimination + Code Splicing.... Debug Bloker'a нету и Nanomites тоже...

| Сообщение посчитали полезным:

Z0oMiK пишет:
Debug Bloker'a нету и Nanomites тоже...
Их и не может быть, если 1 процесс =)

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon пишет:
Их и не может быть, если 1 процесс =)
Аналог глянь DeryOne ;) 1 процесс а есть Нано

| Сообщение посчитали полезным:

Народ, это не похоже на армовские падлянки. Это уже защита самой проги меня имеет.
Вопрос-то скорее по теории, чем по конкретному взлому.

| Сообщение посчитали полезным:

TOG
Теория такова. Айс может ставить бряк на адресс памяти только кратный 4 (это помоему ограничение проца). Если обращение идёт по нечётным адрессам, бряк по идее не должен всплыть.

| Сообщение посчитали полезным:

Almaz пишет:
Теория такова. Айс может ставить бряк на адресс памяти только кратный 4

Хреновая теория (адрес как раз кратен 4, 01E50010h)
Это западло по другой причине.

| Сообщение посчитали полезным:

TOG
знаеш мне кажется это может быть проблема в самом айсе. иногда бывало у мнея не срабатывали бряки даже при оладке своих прог (к сожалению счас нет ничего чтом можно было бы привести в пример). да вот еще что может там быть такой прикол
...
pop ss
mov [01E50010h], x
...
вроде после изменения сег. рег стека следующая команда за изменяющей для отладки не видна.

-----
power and the money money and the power

| Сообщение посчитали полезным:

doctor Ice пишет:
pop ss
Это было очень давно...

Попробую уточнить вопрос: Можно ли писать в структуру CONTEXT не вызывая предварительно
исключение ? (SetThreadContext она тоже не вызывает)
Я вот смотрю в структуре TIB есль поле GlContext, может это контекст и есть ?
Как еще можно дебажные регистры прибить ?

| Сообщение посчитали полезным:

слушай а пометь страницу как отсутствующую и найдеш.

-----
power and the money money and the power

| Сообщение посчитали полезным:

doctor Ice пишет:
слушай а пометь страницу как отсутствующую и найдеш.

Ты на что меня обракаешь ? Это буфер какой-то, она им шуршит мама не горюй.

| Сообщение посчитали полезным:

да понял я но ведь можна накатать обработчик исключения который будет ждать когда именно по этому адресу пойдет запись.

-----
power and the money money and the power

| Сообщение посчитали полезным:

Народ ! Ну посоветуйте что нибудь поэлегантнее ! Неужели никто с антиотладкой не дружит ?

| Сообщение посчитали полезным:

Z0oMiK пишет:
Аналог глянь DeryOne ;) 1 процесс а есть Нано
неверю, такого быть не может =) int3 в арме обрабатывает процесс отладчик, таков там принцип работы... поэтому без второго процесса наномитов в арме быть не может.

ЗЫ можно теоритически обрабатывать int3 в одном процессе (используя seh), но _очень_ сомнительно что так делают в арме... хотя самых последних версий армы я не видел (последнее что смотрел было вроде 4,0)

| Сообщение посчитали полезным:

Mario555 Спорить не буду мож я второго процесса и не видел

| Сообщение посчитали полезным:

Мдяя...
Давайте по пунктам.
1. Перед тем как переменная сбросится в ноль, прога входит в wait-функцию - SignalObjectAndWait.
После выхода из нее переменная уже равна 0.

Я непосредственно перед вызовом wait-функции устанавливаю на страницу памяти, где
сидит эта переменная - PAGE_READONLY с помощью VirtualProtect. Включаю "faults on" и
действительно при попытке записи в эту страницу всплывает айс с исключением ACCESS_VIOLATION.
НО ПРИ ЗАПИСИ ИМЕННО В ЭТУ ПЕРЕМЕННУЮ НИЧЕГО НЕ ПРОИСХОДИТ - айс не всплывает, и кто ее
обнуляет я не понимаю.

| Сообщение посчитали полезным:

VirtualProtect сама прога не юзает, так что отключать защиту страницы она вроде как не может.

| Сообщение посчитали полезным:

прикрути трейсер. и следи.
вот тебе примерчик
www.vx.netlux.org/lib/vwa01.html
переделай под себя и помониторь.
а виртуал протект это только верхушка айсберга.

-----
power and the money money and the power

| Сообщение посчитали полезным:

Что это за чудо-переменная ? на ней свет клином сошёлся ? =) имхо если не ловиццо - и фиг с ней, другие способы надо пробовать...
А по поводу HW бряков... арма вроде не затирает их вообще (под олли по крайней мере HW бряки в арме нормально пашут), а вот учитывая что арма запускается в двух процесса по поводу айса - надо (наверно, ибо айсом я мало пользовался) знать в контексте какого процесса будет запись в переменную, тоесть если там через WriteProcessMemory запись в данный процесс делается, то наверно лучше поискать более простой способ решения проблемы чем копание с дебрях системы в попытках найти момент записи =)

| Сообщение посчитали полезным:

Вышел новый ФРАПС 2.7.0 Retail h**p://www2.fixdown.com/soft/2954.asp?free=sdtel-downs 2.8Mb

-----
M&#225 enginn renna undan &#254v&#237 sem honum er skapa&#240

| Сообщение посчитали полезным:

Mario555 пишет:
знать в контексте какого процесса будет запись в переменную

Что-то я не фкурил. Надо бряк ставить в контексте того процесса которому принадлежит эта страница памяти (чудо-переменная), а не в контексте процесса который пишет в нее. Марио, так ведь ?
Че-то я совсем уже зарылся в дебри. Самая хрень будет, если это действительно глюки айса.

doctor Ice спасибо за трейсер. У меня впринципе и свои есть, попробую...

| Сообщение посчитали полезным:

TOG пишет:
Надо бряк ставить в контексте того процесса которому принадлежит эта страница памяти (чудо-переменная), а не в контексте процесса который пишет в нее. Марио, так ведь ?
но тогда в процессе B который пишет в переменную в память процесса A (через WriteProcessMemory) нету бряка и ессно срабатывать нечему, т.к. он установлен только в контексте потока процесса A (я об обычных HW бряках, в DR7 есть ещё какие-то global, может айс их юзает, тогда непонятно почему не пашет).

вот что про global пишут:
"The low-order eight bits of DR7 (L0 through L3 and G0 through G3)
selectively enable the four address breakpoint conditions. There are two
levels of enabling: the local (L0 through L3) and global (G0 through G3)
levels. The local enable bits are automatically reset by the processor at
every task switch to avoid unwanted breakpoint conditions in the new task.
The global enable bits are not reset by a task switch; therefore, they can
be used for conditions that are global to all tasks."

TOG пишет:
Че-то я совсем уже зарылся в дебри. Самая хрень будет, если это действительно глюки айса.
проверь всё-такми все исключения и возможности доступа со стороны второго процесса - вдруг арма таки обнуляет DRx.
Попробуй олли, вдруг там получиццо.

| Сообщение посчитали полезным:

А ваще прочитайте статью небезъизвестоного Марио555 в Хакере за №57, статья безусловно рулез, жаль сюда из-лени вышеназванного нашего товарища ее еще не запостили...

| Сообщение посчитали полезным:

не читал такой статьи, где она находится?

| Сообщение посчитали полезным:

Asterix
Находится в вышеозначенном журнале. Ссылки на djvu тут были. Странно, что ты пропустил его, журнал в своем большинстве составлен из статей аффторов, здесь постоянно присутвующих. Мне понравился, статьи MS-Rem'a и Марио рулят.

| Сообщение посчитали полезным:

Mario555 пишет:
Попробуй олли, вдруг там получиццо.

Я Олькой редко пользуюсь, поэтому пардон за тупые вопросы.
FRAPS виснет под Олькой. Я слышал про эксплоит с OutputDebugString для Ольки. Где можно скачать
патч для Ольки, чтоб не висла ?

| Сообщение посчитали полезным:

TOG
functions:
IsDebuggerPresent flag will be zero
OutputDebugStringA will be fucked with code just like retn 4

hying's pe-armor use a M$ backdoor so-called magicnumber to fool unpacker

about the trap:
the process heap will fill with diffierent things if under debugger or not.
there is a flag, which should be 2 on my machine if no debuggin
i just set it. so if you get error ,teach me how to improve it
X-D

the plugin will auto hide dbgr when you load a new target.

5eb8_Evanescence.rar.zip

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

webfile.ru/678299
Залил по просьбе Астерикса, релиз от mc707, респект ему...

| Сообщение посчитали полезным: