Цитата из SDK: "in the Win32 API for Windows NT, DebugActiveProcess can fail if the target process was created with a security descriptor that denies the debugger appropriate access." (в Win32API семейства Windows NT, вызов DebugActiveProcess может быть не успешен, если целевой процесс имеет дескриптор безопасности, запрещающий доступ отладчика). Я пробовал запретить администраторам делать с процессом любые действия, но OllyDbg аттачится. Как же надо правильно создать security descriptor?
p.s. дескриптор безопасности я менял с помощью программы SetPrAcl, а не с помощью своего кода. А эта программа использует стандартный интерфейс Windows NT для установки прав доступа, то есть внутри самой программы никакой работы с ACL с помощью сложных API-функций нет.

| Сообщение посчитали полезным:

В МС есть псевдо-юзер System, который может все. Чтобы хоть как-то защитить систему, критические данные доступны только System, а Администратор должен выполнять переход в режим System для выполнения "запрещенных" действий. Поэтому любая защита бесполезна, если известен пароль админа или имеется "лазейка" в режим админа.
Насчет запретов администратору еще смешнее : да можно, например, запретить админу любой доступ, но админ перейдя в System может вернуть все назад.

| Сообщение посчитали полезным:

tundra37
Админ и так является владельцем моего процесса. И не надо ему системных прав получать, владелец может сменить разрешения. А админ по умолчанию и так может сменить владельца. Однако пока разрешения не изменены, админ доступа иметь не должен. А OllyDbg каким-то образом читает память, не меняя разрешений. Спрашивается: а на кой хрен они тогда? И какой должен быть securitydescriptor ЦЕЛЕВОГО процесса, чтобы его не могли отлаживать? По умолчанию и так только админы отлаживать могут. Да, и SYSTEM не всё может, где-то помню была такая хрень, которую может выполнить любой админ, но не может SYSTEM. Да и права SYSTEM по сравнению с ring-0 приложениями мизерные, критическая информация не доступна и ей тоже.

| Сообщение посчитали полезным:

Изменение прав на процесс - это все фигня. Невозможна только трассировка внутри обработчика int 1 и бряки внутри int 3. А из юзермоды айсу никак не запретить отлаживать программу.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

NullSession пишет:
А OllyDbg каким-то образом читает память, не меняя разрешений.
Ты еще скажи, что он аппаратные точки ставит, не используя переход в System.
Секция кода тоже закрыта на запись, тоже скажешь что olly - маг и чародей.
Открыл доступ, сделал свое дело и вернул все назад - только и делов.

| Сообщение посчитали полезным:

tundra37
В ring-0 он переходит, а не в System. Причём не надо быть админом. Просто там, в ring-0, проверяются права вызывающего потока, и тут почему-то вдруг на них забили. То есть если пользователь вызывает WriteProcessMemory, то переход в режим ядра должен быть, но если прав не хватает, его должны послать. Почему отладчик не посылается, непонятно.
Ms-Rem
Айсу и не надо, цель - юзер-mode отладчики.

| Сообщение посчитали полезным:

Olly в рингнуль переходит? =)

-----
Я медленно снимаю с неё UPX... *FF_User*

| Сообщение посчитали полезным:

AlexZ пишет:
Olly в рингнуль переходит? =)
Нет конечно, где ты такую глупость услышал?
Хардварные бряки ставятся с помощью SetThreadContext

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Кстати, если WriteProcessMemory на UnhandledExceptionFilter вызову, то свою копию kernel32.dll получит каждый, или у всех будет общая, а у меня личная? А то ведь можно всё-таки руки отрубить отладчику user-mode по крайней мере. Да и айсу в какой-то мере.

| Сообщение посчитали полезным:

он наверно имел введу что после вызова WriteProcessMemory поток переходит в r0 вызывая сервис ядра через sysenter.

-----
have a nice day

| Сообщение посчитали полезным:

Ms-Rem пишет:
Хардварные бряки ставятся с помощью SetThreadContext
Тогда параллельный вопрос. Ломаю программу и если ставлю хардваре бряк на исполнение,
то он не ловится, ни на точке входа(ловит только не нужные), ни на самом call.
А если ставлю хардваре бряк по доступу, то все прекрасно ловится ?!
И олли говорит : был доступ на выполнение

| Сообщение посчитали полезным:

Nimnul пишет:
он наверно имел введу что после вызова WriteProcessMemory поток переходит в r0 вызывая сервис ядра через sysenter
Именно это и имел ввиду. А то пошли тут про права SYSTEM говорить, которые к ядру отношения никакого не имееют.
tundra37
Ничего не понял. По-моему ты с пунктуацией что-то намутил.

| Сообщение посчитали полезным:

NullSession пишет:
По-моему ты с пунктуацией что-то намутил
Да нет. По памяти наврал: имелся ввиду бряк по доступу к памяти. Я думал, что это аналог софтайсовского
bpx RW. А Олли наверное всю секцию закрывает и проверяет тот адрес или не тот ?

| Сообщение посчитали полезным:

Ms-Rem, я так понял что tundra37 и NullSession об Олли говорили, вот из этого и решил что это бо Олли:
NullSession пишет:
А OllyDbg каким-то образом читает память, не меняя разрешений.
tundra37 пишет:
Ты еще скажи, что он аппаратные точки ставит, не используя переход в System.
Секция кода тоже закрыта на запись, тоже скажешь что olly - маг и чародей.
Открыл доступ, сделал свое дело и вернул все назад - только и делов.
NullSession пишет:
В ring-0 он переходит, а не в System.
Я ычера-то это трезвый читал - запутался, а тут ещё сегодня ничерта непонатяно

-----
Я медленно снимаю с неё UPX... *FF_User*

| Сообщение посчитали полезным:

AlexZ пишет:
Я ычера-то это трезвый читал - запутался, а тут ещё сегодня ничерта непонатяно
Протрезвись и напиши, что ты хотел сказать! Ибо твой пост тоже как-то непонятен.
И вообще я тут с вами свихнусь. Пойду лучше службы изучать. Или к Ане приставать. А то башка балит от программирования.

| Сообщение посчитали полезным:

Короче я вот о чем: ринг3 дебугер отлаживает через дебаг АПИ, и ессно ставит бряки изменяя контекст или банально записав в код инт3 на нужное место, и я не думаю что ринг3 дебугер может уйти в рингнуль, потому мне непонятны некоторые фразы, пояснения которых я хотел бы знать.
tundra37 пишет:
NullSession пишет:
А OllyDbg каким-то образом читает память, не меняя разрешений.
Ты еще скажи, что он аппаратные точки ставит, не используя переход в System.
Секция кода тоже закрыта на запись, тоже скажешь что olly - маг и чародей.
Открыл доступ, сделал свое дело и вернул все назад - только и делов.
Да, VirtualProtect/Ex может изменить атрибуты памяти, ринг-3 отладчики так и делают. Или я что-то снова не понял? =) И никуда олли не переходит, а если апям надо выполнятся в рингнуле, то они туда нырнут и спрашивать никого не будут.
Уложился

-----
Я медленно снимаю с неё UPX... *FF_User*

| Сообщение посчитали полезным:

AlexZ
см. пост Nimnul:
Nimnul пишет:
он наверно имел введу что после вызова WriteProcessMemory поток переходит в r0 вызывая сервис ядра через sysenter.
Ну или int 2Eh для доXP-ишных версий Windows. SetThreadContext - аналогично. Но Олька может вытворять что хочет только с user mode кодом, остальное ей неподвластно, что там Microsoft написала, то в режиме ядра и выполнится. Странно, что это не все помнят.

| Сообщение посчитали полезным:

Ms-Rem пишет:
Хардварные бряки ставятся с помощью SetThreadContext
Спрошу еще раз:
В олли есть следующие бряки :
hardware on execution, memory on access и memory on write.
В софтайсе есть BPM aaaa X , BPM aaaa R, BPM aaaa RW.
Софтайсовские бряки делаются через аппаратные регистры, в том смысле, что по
BL выдается адрес, номер используемого регистра и тип бряка.
В олли в регистры попадает лишь hardware on execution.
Так вот, существуют программы, которые могут уходить от бряка hardware on execution,
при чем избирательно, а бряк memory on access они не отключают.
Все это естественно к олли относится, на софтайсе не проверял.
+++++++++++++++++++++++++++++++
Будучи администратором, ничто не мешает зарегистрировать и запустить драйвер -
вот вам и ринг0 ?!

| Сообщение посчитали полезным:

Кстати, а что если сделать сплайсинг на системный callback-обработчик исключений, который отвечает за обработку этих исключений? Он же что делает:
1) проверяет, есть ли отладчик. Если Да, посылает ему
2) затем идёт куча медитаций с SEH, VEH и т.п. и отладчиком тоже.
Слыхал, что SoftIce на него ставит int 3.
Но вроде бы он разный на 98 и NT. Это либо kernel32!UnhandledExceptionFilter либо ntdll!KiUserExceptionDispatcher. Но если воспользоваться сплайсингом, то каждая программа получит свою копию системных dll, или все они будут совместно пользовать одну, а наша получит отдельную? Я уже спрашивал это выше, но не учёл особенностей nt. UnhandledExceptionFilter там совсем другое вроде бы делает.
В общем, какие идеи?

| Сообщение посчитали полезным:

Ну чё подохли? Три дня уже прошло!

| Сообщение посчитали полезным: