Основной вопрос такой: как можно удалить антиотладку в частности только не возможность установить бряки в стрфорсе ?
Ну а далее по теме если кто знает
- Как можно перехватить установку стариком хуков на инты ?
- Где это искать в каких файлах находится установка хуков?
- Как можно избавится от этого тк читал в инете что он int 3 использует для загрузки своей dll в ring(0).?
- Или есть ли возможность отлаживать программу забив ( те ни чего не патча в старфорсе ) ?


и вобще есть ли статьи по этому вопросу, я уже наверно пол инета перерыл ни чего толком не нашел.

| Сообщение посчитали полезным:

Faza
Почитай, особенно 2-ю страницу.
http://exelab.ru/f/action=vthread&forum=5&topic=5300&page= 0

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Вот старые статьи, просто чтоб оценить сложность
www.reng.ru/articles/122001/sf-cossacks.htm
www.reng.ru/articles/022002/sf-venom.htm

а новых то и нет =)

| Сообщение посчитали полезным:

ValdiS
Ты хочешь сказать что StarForce сломать не возможно ? Или то что на паблике мне ни кто отвечать по делу на такие вопросы не будет?[

| Сообщение посчитали полезным:

Faza пишет:
Или то что на паблике мне ни кто отвечать по делу на такие вопросы не будет?[
думаю это... и сложность не в инт1,3 %) посмотри rld-sfretools, папку с доками

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

Faza пишет:
Или то что на паблике мне ни кто отвечать по делу на такие вопросы не будет?[
lord_Phoenix прав.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Faza
Обработчики исключений периодически проверяются, если не поймал - БСОД. Максимум думаю хватит до ОЕП дойти. Хард юзаются для работы, так что та же история. Максимум, что есть - тулзы от Reloaded доками да распакованный worms 4 mayhem )

[EDITED]
Может кто знает где можно почитать как сарфорс оперирует с INT 3 и как от этого можно избавится?
Оперирует как полагается - фиксит таблицу обраотчиков исключений. Избавиться - R0cmd - но проверки обработчиков старика сделают BSOD, как уже писалось выше

-----
Недостаточно только получить знания:надо найти им приложение

| Сообщение посчитали полезным:

Rascal
Что такое R0cmd? перевести отладчик на другие прерывания ? правда я хз как это делается

Asterix
Спасибо за статьи, наловился однако BSOD я

| Сообщение посчитали полезным:

Rascal пишет:
Может кто знает где можно почитать как сарфорс оперирует с INT 3 и как от этого можно избавится?
доки от релоадед, там все расписано, а вот избавляться не надо, читай все теже доки, жаль только для старой вм ;)

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

lord_Phoenix
Вообщето это не моя циата ;) Доки уже прочитаны и мне на счёт прерываний всё понятно.

Faza пишет:
Что такое R0cmd? перевести отладчик на другие прерывания ? правда я хз как это делается

Прога чтоб считать IDT и записать соответственно. Так прерывания вернутся, но это спасёт не на долго

-----
Недостаточно только получить знания:надо найти им приложение

| Сообщение посчитали полезным:

Rascal пишет:
Вообщето это не моя циата ;)
будем щитать что я прцоитировал того, кого и ты =)
Rascal пишет:
Прога чтоб считать IDT и записать соответственно. Так прерывания вернутся, но это спасёт не на долго
даже очень ненадолго =)

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

lord_Phoenix пишет:
даже очень ненадолго =)
Хоть до оеп дойти можно?

-----
Недостаточно только получить знания:надо найти им приложение

| Сообщение посчитали полезным:

ради интереса поковырял в ольке немного FlatOut2, нашел ОЕР, частично восстановил импорт, а дальше -

| Сообщение посчитали полезным:

дамп падает на Error = ERROR_INVALID_HANDLE. если кому интересно, могу выложить сдампоенный экзе...

| Сообщение посчитали полезным:

Rascal пишет:
Хоть до оеп дойти можно?
нахождение оеп, помоему не самая сложная часть =)), дак что можно ;)

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

lord_Phoenix
У мня просто на косм рейнджерах 2 в бсод выпадает после запуска дров, а если ни одного бряка, то по шифт+ф9 всегда на sysenter встаёт и больше никуда

-----
Недостаточно только получить знания:надо найти им приложение

| Сообщение посчитали полезным:

Rascal
дальше как раз в ринг0, а не больше никуда, ибо sysenter ;)
метод с инжектом дллки имхо рулит %)

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

lord_Phoenix пишет:
метод с инжектом дллки имхо рулит %)
Я так прикинул - это получается весьма удобный способ для любых протов
PS: ща перечитаю, надеюсь в этом месте меня неп подведёт инглишь, изучавшийся цельный год в стенах универа )

[EDITED]
Бля, пытался вспомнить, что ж задумал с дллкой, смешно мля но забыл Хм, как бы вспомнить

-----
Недостаточно только получить знания:надо найти им приложение

| Сообщение посчитали полезным:

Rascal пишет:
Я так прикинул - это получается весьма удобный способ для любых протов
инжект вообще метод почти универсальный =)
посмотри сорсы/статьи артим, там дероко вроде, юзал инжект для нахождение оеп и иат в протах..

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

lord_Phoenix
Линку дай, плз

-----
Недостаточно только получить знания:надо найти им приложение

| Сообщение посчитали полезным:

Rascal
cracking.accessroot.com, раздел Releases и Tutorials

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

в коде длл от ASMax есть такой код
ChangeIDT:
push eax ebx edx

sidt [esp-6] // 6 байт на таблицу прерываний
mov edx,[esp-4] // база таблицы прерываний

mov eax,[esp+10h] // IntNumber
lea edx,[edx+eax*8] //ну тут какое по номеру прерывание нужно
mov bx,[edx+6] // почему именно [база_инта+6] а не +4 ?
shl ebx,10h // в старший word
mov bx,[edx] // [edx] - младший word и ebx..... у нас старый адресс прерывания

где можно подсмотреть структуру этой таблицы прерываний, что именно он там вычесляет и что там еще может быть ?

| Сообщение посчитали полезным:

Доки от RLD
ht_tp://rap_xyu_idshare.de/files/26174912/6dsfk329dsf2.rar.html
p@ss: Н0звание с0йта без ру

| Сообщение посчитали полезным:

L1VE
ну ты засекретилса проста шьпионь


| Сообщение посчитали полезным:

Нелюбл китайчегов-переводчиков

| Сообщение посчитали полезным:

L1VE
огромное спасибо !!! будем изучать ... заодно вспоминать енглишь

| Сообщение посчитали полезным:

L1VE
баян... зачем было так шифроваться, если эти доки с марта лежат... и уже у всех есть (у кетайчегов точно)

http://exelab.ru/f/action=vthread&forum=3&topic=4400

-----
MicroSoft? Is it some kind of a toilet paper?

| Сообщение посчитали полезным:

Tim
Линка просто дольше жить будет

| Сообщение посчитали полезным:

Помогите разобраться
1. В доках по старику есть примеры установки INT 1 - и хардварный бряк Stfors'ом
но в idt прерывания 1 (int 1) и db (хардварный) стоят родные виндовые адреса (кроме int 3)
значит получается что старик не перехватывает и не обрабатывает эти прерывания? ,
тогда от куда берется исключение преводящие к BDOS у?

2. Как когда старик может использовать int 1 для загрузки своей dll в ring 0 ?
он же не может перед генерацией int'а из usermode поправить idt а после вернуть
все обратно ? или он использует int3 для этих целей, но тогда опять же если sofice'м
поставить любой бряк тот в сою очередь впишет в обработчики прерываний свои функции
значит мы бы сразу брякались на том месте гдк sf вызвал 3 исключение для загрузки dll
в ring 0, но этого не происходит....


и еще, отладчик выполняет какие то функции, кроме обработки int'ов, которые проектор мог перехватить и "спалить" установку отладчиком бряка ?

ps мне уже не так нужна программа из-за которой я все это затеял, а уже проникся азартом и хочется разобраться как это работает.

| Сообщение посчитали полезным: