 |
eXeL@B —› Протекторы —› Анти-дебаг нового обсидиума |
| Посл.ответ | Сообщение |
|
|
Создано: 14 октября 2005 16:09 · Личное сообщение · #1 Блин, авторы добавили какие-то новые приёмы, олю палят железно  Чё делать не знаю, исследовать лень Может кто уже исследовал? Поделитесь инфой. Импорт тоже по старому методу не восстанавливается (метод лавбума) Почитали видать статьи. Но импорт - не пролема, анти-дебаг - проблема.
 |
|
|
Создано: 14 октября 2005 20:13 · Личное сообщение · #2 вроде смотреть нужно начиная с OpenProcess, к сожалению сам проверить не могу - нет под рукой необходимых инструментов, буду дома гляну |
|
|
Создано: 14 октября 2005 23:57 · Личное сообщение · #3 Bit-hack пишет: олю палят железно гыыы, где ? ))) скачал сейчас 1.3 он запускаецца под олли, импорт ОЧЕНЬ похож на тот который был раньше. Вообщем на первый взгляд отличий от 1.2.5 я не заметил (разве что в обработке импорта опять появился мусорный код, который до этого был в более ранних версиях пакера) ;) |
|
|
Создано: 15 октября 2005 06:54 · Личное сообщение · #4 Mario555 пишет: скачал сейчас 1.3 он запускаецца под олли Хм, у тебя какие полагины стоят? У меня чёт не хочет, вырубается или говорит, что отладичк замечен, вырубаемся. Mario555 пишет: импорт ОЧЕНЬ похож на тот который был раньше Ну сам переходники-то да, а вот цикл создания, который можно пропатчить по методу лавбума, поменялся с децл Надо опять искать сингатуры...
|
|
|
Создано: 15 октября 2005 13:38 · Личное сообщение · #5 Mario555 пишет: гыыы, где ? ))) скачал сейчас 1.3 он запускаецца под олли У меня не запускается. Ты, кстати, SP2 поставил? может под SP1 оно и не ловит ;) |
|
|
Создано: 15 октября 2005 15:48 · Личное сообщение · #6 Asterix пишет: может под SP1 оно и не ловит ;) Хе, врятли с СП меняется ядро винды. Разберёшься сам, или помочь? Я знаком со структурой обсидиума, могу в принципе помочь где надо. А, и тебеже в догонку, у меня при запуске оли в логе пишет, что невозможно активировать защиту от terminateprocess. К чему-бы это? Это баг? |
|
|
Создано: 15 октября 2005 19:09 · Личное сообщение · #7 Bit-hack пишет: Хе, врятли с СП меняется ядро винды. Оно даже после некоторых критических апдейтов меняется. Bit-hack пишет: у меня при запуске оли в логе пишет, что невозможно активировать защиту от terminateprocess. К чему-бы это? Это баг? Я знаю, это не баг, но будет исправлено в следующем релизе, просто в момент написания кода у меня небыло XP SP2 Bit-hack пишет: Разберёшься сам, или помочь? не знаю когда это будет, т.к. я сейчас в разъездах, так что если кто разберется - кидайте инфу сюда |
|
|
Создано: 15 октября 2005 19:12 · Личное сообщение · #8 Asterix пишет: так что если кто разберется - кидайте инфу сюда Ок, как найду время - потрейсю главный цикл
Asterix пишет: Я знаю, это не баг А нельзя-ли немного про этот метод, как он работает? |
|
|
Создано: 15 октября 2005 22:54 · Личное сообщение · #9 Bit-hack пишет: а вот цикл создания, который можно пропатчить по методу лавбума ну хз, я никаких циклов не патчил, импорт скриптом, а про лавбума и его метод вообще ниибу =) Asterix пишет: Ты, кстати, SP2 поставил? поставил на новый комп корпорейт эдишен со всеми СП, но под неё я ещё ничего не устанавливал =), а обсидиум запускал под первым SP, в котором твой плуг с terminateprocess прекрасно справляеццо. |
|
|
Создано: 16 октября 2005 09:35 · Личное сообщение · #10 Mario555 пишет: я никаких циклов не патчил Не, просто проще: пропатчил несколько байт в цикле и всё, импорт почти целый. Mario555 пишет: в котором твой плуг с terminateprocess прекрасно справляеццо. Мистика. А у тебя файл оллидбг.ини переименован? |
|
|
Создано: 16 октября 2005 14:53 · Личное сообщение · #11 Mario555 пишет: а обсидиум запускал под первым SP, в котором твой плуг с terminateprocess прекрасно справляеццо. попробуй отключить эту опцию и еще раз запустить, запускается? |
|
|
Создано: 16 октября 2005 23:59 · Личное сообщение · #12 Asterix пишет: попробуй отключить эту опцию и еще раз запустить, запускается? не-а, с отключённой защитой в плагине обсидиум получает доступ к памяти процесса олли и чего-то там копается (вроде в heap`е, хотя не уверен)... PS что-то от этого SP2 только проблемы, пользы я пока не заметил =) |
|
|
Создано: 17 октября 2005 02:14 · Личное сообщение · #13 Давно пора научиться распаковывать программы не запуская их, тем более под отладчиком. В большинстве случаев быстрее разбрать прогу в статике чем бодаться с антиодладкой. Хотя кончено кому как нравится )
|
|
|
Создано: 17 октября 2005 05:44 · Личное сообщение · #14 DrGolova пишет: Давно пора научиться распаковывать программы не запуская их Доктор, можно написать статику, но такой анпакер будет только до следующей версии, т.к. он перестанет работать из-за малейших изменений, а вот анпакер-трейсер не заметит небольших изменений кода. Хотя конечно кому как нравится )
|
|
|
Создано: 17 октября 2005 10:11 · Личное сообщение · #15 Bit-hack Ты зря считаешь, что функции распаковки протекторов меняются с каждой версией .
Остальное пофиксить не проблема. |
|
|
Создано: 17 октября 2005 11:22 · Личное сообщение · #16 Mario555 пишет: с отключённой защитой в плагине обсидиум получает доступ к памяти процесса олли и чего-то там копается (вроде в heap`е Гы, тогда нужно поправить код раз фича такая нужная, и еще отдельно прикрутить защиту от ReadProcessMemory на случай если процесс будет открыт через native API |
|
eXeL@B —› Протекторы —› Анти-дебаг нового обсидиума |
Для печати