SEH Anti Debugging vs Visual Studio 17

Сейчас на форуме: (+6 невидимых)

Посл.ответ	Сообщение
daFix Ранг: 529.0 (!), 110thx Активность: 0.29↘0.04 Статус: Участник 5KRT	Создано: 13 мая 2020 08:11 · Личное сообщение · #1 Приветствую, давно ничего не писал на этом форуме, но столкнулся с проблемой - на файле висит что-то кастомное, файл обфусцирован, в код обильно замешано более сотни функций проверки целостности и антидебаг приёмов. Антидебаг ерундовый, но в студии я чёт не нашёл игнора некоторых исключений, чтобы исключение передалось обработчику протектора. Есть какие-то здравые мысли? Патчить можно, обошёл проверку целостности, но слишком много времени на это уйдёт. Палят они отладчик подобным образом: Code: BOOL g_isDebuggerPresent = TRUE; EXCEPTION_DISPOSITION ExceptionRoutine( PEXCEPTION_RECORD ExceptionRecord, PVOID EstablisherFrame, PCONTEXT ContextRecord, PVOID DispatcherContext) { g_isDebuggerPresent = FALSE; ContextRecord->Eip += 1; return ExceptionContinueExecution; } int main() { __asm { // set SEH handler push ExceptionRoutine push dword ptr fs:[0] mov dword ptr fs:[0], esp // generate interrupt int 3h // return original SEH handler mov eax, [esp] mov dword ptr fs:[0], eax add esp, 8 } if (g_isDebuggerPresent) { std::cout << "Stop debugging program!" << std::endl; exit(-1); } return 0 } ----- Research For Food

TryAga1n Ранг: 262.5 (наставник), 337thx Активность: 0.34↘0.25 Статус: Участник	Создано: 13 мая 2020 08:17 · Личное сообщение · #2 Стесняюсь спросить, а чем обусловлен выбор отладчика студии?
daFix Ранг: 529.0 (!), 110thx Активность: 0.29↘0.04 Статус: Участник 5KRT	Создано: 13 мая 2020 08:23 · Личное сообщение · #3 TryAga1n Я не поехавший) Файл - библиотека которую люди подвязывают в свой проект, но есть сложности с отладкой из софта когда эта библиотека подгружается ----- Research For Food \| Сообщение посчитали полезным: TryAga1n
friend Ранг: 13.2 (новичок), 13thx Активность: 0.28=0.28 Статус: Участник	Создано: 13 мая 2020 18:51 · Личное сообщение · #4 > в студии я чёт не нашёл игнора некоторых исключений, чтобы исключение передалось обработчику протектора А как Студии дебагер будет различать свои бряки от инт3 в коде? Имо никак. Он ведь тоже инт3 пишет, WaitForDebugEvent() ждёт, поэтому таких фильтров быть не может. > Патчить можно, обошёл проверку целостности, но слишком много времени на это уйдёт. Разве? Твой апп сидит в бэкграунд, ждёт процесса с антидебагом, патчит PEB->BeingDebugged в 0.
ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 14 мая 2020 00:19 · Личное сообщение · #5 friend Также, как и любой другой дебаггер - запоминает свой бряки, которые ручками там ставишь. От так и будет различать. PEB->BeingDebugged тут не проверяется, тут проверяется сам факт генерации иксепшена. Если патчить можно, daFix, патч int3 на cli. ----- Stuck to the plan, always think that we would stand up, never ran. \| Сообщение посчитали полезным: plutos, daFix
morgot Ранг: 69.9 (постоянный), 81thx Активность: 0.14↗0.73 Статус: Участник	Создано: 14 мая 2020 23:26 · Личное сообщение · #6 Не совсем уверен, что это то, что вам нужно, но - посмотрите книгу Рихтера "Windows via C/C++", стр. 827, подглава "Исключения и отладчик".

Для печати