Есть такая фигня как защита от аппаратных бряков и т.п.
Так вот что я подумал: есть такая маза накатать прогу типа ольки, но работающую не как отладчик, а как интерпретатор (такая прога кт. ассемблирует напрямую в память), но у меня пока опыта в этом деле маловато!
А плюс такой, что прога может прекратить ассемблирование в любой момент!!!)) и никакая защита не поможет.
Если есть такие проги - напишите пожалуйста.

Спасибо.

| Сообщение посчитали полезным:

www.wasm.ru в разделе вирусология Антивирусные технологии: эмуляция программного кода

| Сообщение посчитали полезным:

Эмулятор процессора http://www.h7.dion.ne.jp/~qemu-win/ тебя спасет

| Сообщение посчитали полезным:

1) Эмулятор simics
www.simics.net www.virtutech.com
2) Эмулятор bochs - есть исходные тексты
bochs.sourceforge.net

Эти эмуляторы хороши тем, что в них есть отладчик - именно то, что надо. К сожалению эти эмуляторы не эмулируют "тонкие вещи", поэтому в принципе возможно их определить. Но вот побороть это определение не проблема : быстро доходим до запуска программы и включаем полную трассировку команд.

| Сообщение посчитали полезным:

dxp пишет:
никакая защита не поможет
Да ладно... Для Olly и стандартный плагин не спасает даже от функции IsDebuggerPresent.
Пробовал штук 20 программ,они все вешают комп. Так что такую муть даже городить не надо.
Защита от отладки делается намного проще ;)

| Сообщение посчитали полезным:

ElybonrehC пишет:
Защита от отладки делается намного проще ;)
Столько трудов по этому поводу написано, а тут.... НАМНОГО ПРОЩЕ.... ржунимагу

| Сообщение посчитали полезным:

ElybonrehC пишет:
Для Olly и стандартный плагин не спасает даже от функции IsDebuggerPresent.

гонишь или пытаешься юзать плагин под вин9х

| Сообщение посчитали полезным:

Asterix пишет:
гониш...
Точно! Плагин прекрасно работает!

| Сообщение посчитали полезным:

tundra37 пишет:

1) Эмулятор simics
www.simics.net www.virtutech.com
2) Эмулятор bochs - есть исходные тексты
bochs.sourceforge.net

Нихрена не понял что там написано
Пол часа потратил на поиски по сайтам и в результате накачал гору исходников, которые мне влом компилять

ElybonrehC пишет:
Для Olly и стандартный плагин не спасает даже от функции IsDebuggerPresent.
Asterix пишет:
гонишь или пытаешься юзать плагин под вин9х
Не, ну реально IsDebuggerPresent прячет не от всего, но со своими функциями он справляется кульно!
А чтобы он работал надо:
-Olly
-Мозги
-Хороший (в крайнем случае - нормальный) комп
-Прямые руки(на своем опыте)!

| Сообщение посчитали полезным:

dxp, Мало понимаю, чё ты пытаешься эмулировать, поподробнее, пжлста.

| Сообщение посчитали полезным:

dxp пишет:
А чтобы он работал надо:
-Olly
-Мозги
-Хороший (в крайнем случае - нормальный) комп
-Прямые руки(на своем опыте)!

Asterix ты выпустил новую версию? Кстати проты уже чекают что в буфере после вызова OutputDebugString, и если там : - ) то кирдык...

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

dxp пишет:
которые мне влом компилять
А зачем компилять-то. Для bochs есть готовая версия и даже с инсталлятором, по-моему. В поисковиках можно найти информацию на русском. Основная проблема с ним, что изначально он предназначен для Линукса и под Виндами его компильнуть - большая проблема.
Simics - это эмулятор разных процессоров. Начинали они на Спарке(Solaris), теперь достаточно успешно эмулируют х86 и х86-64, Альфа, Итаниум, PPC, MIPS,ARM(!!!). Аппаратуру эмулируют на минимальнои уровне. Эмулятор у них платный, есть для Виндов и для Линукса. Т.к. используется питон, то можно свои примочки добавлять.

| Сообщение посчитали полезным:

PE_Kill пишет:
Кстати проты уже чекают что в буфере после вызова OutputDebugString, и если там : - ) то кирдык...

какие?

да и в последней из доступных нет ": - )"

| Сообщение посчитали полезным:

Asterix пишет:
какие?
SoftProtect. Лажа конечно полная, но у нас ведь не бывает, чтобы кто то придумал, а другие не рипнули.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Да, совсем забыл, ExeCryptor последний тоже это проверяет...

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Я могу сказать что OllyDbg абсолютно непригоден для полноэкранных приложений.
Например для взлома игр.Потому что комп зависает намертво до тех пор,пока не выгрузишь процесс ollydbg.exe
dxp пишет:
Не, ну реально IsDebuggerPresent прячет не от всего, но со своими функциями он справляется кульно!
Я пробовал много программ с ним,ни от одной не спрятал...
Скорее всего это только для лажовых крякмисов срабатывает.Если автор проги более менее
в трезвом уме,он наверняка предусмотрит защиту от отладки.
Видел даже программы,которые в WinDASM не дизассемблируются...

| Сообщение посчитали полезным:

dxp пишет:
А плюс такой, что прога может прекратить ассемблирование в любой момент!!!
Другое, более легкое предложение: можно написать криптовалку с наркоманским алгоритмом, и не надо никаких интерпретаторов. Или юзать - мега - протекторы.

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

PE_Kill пишет:
ExeCryptor последний тоже это проверяет

не ожидал если так, хотя криптор всегда славился сомнительными методами определения отладчика
и OllyDbg в частности

| Сообщение посчитали полезным:

ElybonrehC пишет:
Например для взлома игр
Ты бы сначала разобрался а потоом писал!!1 Оля вешаеться на exception и ждет пока пользователь даст команду. Так что все работает.

| Сообщение посчитали полезным:

Cigan пишет:
Ты бы сначала разобрался а потоом писал!!
Так его уже пять раз банили за тягу к пустому письму. Это ж Чернобыль вывернутый наизнанку

| Сообщение посчитали полезным:

А кто что может сказать про двойную отладку? Т.е. есть два процесса - отладчик и отлаживаемый(защищенный). Отлаживаемый процесс содержит мусорные инструкции (int3 и не только). Отладчик, как и положенно, сидит в цикле ожидания отладочных событий. Когда несколько раз возникает исключение int 3 родной процесс-отладчик должен вписать в код отлаживаемого процесса опкод на место int 3. Так вот, когда я запускаю прогу под Олей, получается, что у отлаживаемого процесса два отладчика, и по-ходу отладочные сообщения получает оля, а не родной процесс-отладчик. Вопрос, возможна ли отладка Олей такого добра? Дело в том, что процесс при отладке Олей падает в кому...
P.S. речь про SafeDisk 4. SoftICE не вспоминать - я и так в нем благополучно отлаживаю, просто решил в ольке попробовать - и не получилось (антидебаг обошел).

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log пишет:
Так вот, когда я запускаю прогу под Олей, получается, что у отлаживаемого процесса два отладчика, и по-ходу отладочные сообщения получает оля, а не родной процесс-отладчик.

глупость

| Сообщение посчитали полезным:

Error_Log пишет:
Вопрос, возможна ли отладка Олей такого добра?
ну арма то с наномитами запускается без проблем ;)

| Сообщение посчитали полезным:

Asterix пишет:
глупость
Так проще всего написать, лучше обьясни в чем тогда проблема: родной процесс-отладчик входит в WaitForDebugEvent с параметром INFINITE и никогда оттуда не возвращается, хотя по идее должен вернуться при получении отладочного события... До наномитов дело даже не доходит, все в кому падает раньше, чем управление попадает на ОЕР... Врядли антидебаг, поскольку когда SafeDisk палит отладчик он либо выдает месагу, либо завершается... Я долго экспериментировал с разными плагинами и опциями - результат один, кома... Просто я первый раз сталкиваюсь с таким случаем, неужто никто не копал SafeDisk в Оле?

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log
два ring3 отладчика не могут отлаживать один процесс

| Сообщение посчитали полезным:

А разве у SafeDisc отладчик не в ring0?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

кстати о сейфдиске, я в шоке

d567_06.06.2006_CRACKLAB.rU.tgz - UnSafeDisc_46_by_ARTeam.rar

| Сообщение посчитали полезным:

PE_Kill
SafeDisk использует DebugAPI для работы, процесс-отладчик распаковывается в темп каталог, и оттуда запускается. Драйвер он тоже использует(например, для обнаружения SoftICE), но основную работу с обработкой наномитов и импортом делает dll процесса-отладчика в темп каталоге.

Av0id
Ничего удивительного, один из учасников этого форума (если захочет - сам отпишется) распаковал недавно NFSMW, полностью отковыряв оригинальный exe (т.е. тело прота снято полностью). Если постараться, то можно написать анпакер . Там была сложность с восстановлением констант из секции данных, теперь она решена. Посмотрим, что будет нового в новой версии этого прота...

-----
Research is my purpose

| Сообщение посчитали полезным:

вручную это вручную, а вот анпакер куда сложнее написать имхо

| Сообщение посчитали полезным:

UnSafeDisc_46_by_ARTeam
Да уж,автоматизация -- вещь,конечно,хорошая,но весьма привередливая.

Мельком глянул исходник и что-то не заметил там самого главного -- обработки SDAPI,о которых писалось тут.А это сейчас самая актуальная начинка последних версий протектора.
Попробовал сейчас распаковать две вещи этим распаковщиком -- NFSMW и The Godfather -- в обоих случаях падение с ошибкой доступа...

Av0id пишет:
вручную это вручную, а вот анпакер куда сложнее написать имхо
...полностью согласен,но что в данном случае более приемлимо -- руками создать распакованный рабочий файл или иметь фигу и ошибку с кодом C0000005 ??

Что же касается NFSMW,которую я намедни обесчестил,то можно сказать,что разработчики игр сами создают себе проблемы,оставляя такие дыры в защищаемых файлах.Следовательно трудность снятия протектора(полного снятия) зависит в данном случае скорее от прозорливости разработчиков,чем от версии протектора.

-----
the Power of Reversing team

| Сообщение посчитали полезным: