Ребята, у меня возникла идея подправить возвращаемые значения функций вин апи, которые часто используются при антиотладке. Вот к примеру есть функция IsDebuggerPresent(), которая возвращает в eax единицу. Функция из kernel32.dll, я в отладчике подправил, перед ret вставил mov eax,0
Измененную длл сохранил в папку, где лежит ехешник проги. Открываю прогу в оллидебаг, но вижу, что она грузит длл из системной папки винды, а как сделать, чтобы она ее грузила из текущей папки ?

| Сообщение посчитали полезным:

kola1357

Есть многого причин этого не делать. Да и методы давно все отработаны. Вначале вам нужно побороть аверов. Затем SFC.

| Сообщение посчитали полезным:

Dr0p пишет:
Есть многого причин этого не делать.
Расскажите, пожалуйста. Может плохо объяснил, но я не собираюсь подменять kernel32.dll в системной папке, я просто хочу, чтобы программа моя crackme искала эту длл в текущей папке.

Кстати, что такое аверы и SFC ?

| Сообщение посчитали полезным:

kola1357

Аверы будут с вами бороться. Это такие хитрые существа, которые ваш код пытаются запалить для того, чтобы получить с этого звенящий шекель

| Сообщение посчитали полезным:

kola1357 пишет:
Кстати, что такое аверы и SFC ?
http://en.wikipedia.org/wiki/System_File_Checker

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Dr0p пишет:
Аверы будут с вами бороться.
Аверы это антивирусы ? А при чем тут они ? Я для себя просто крекми ломаю. Мне кажется, что подредактировать апи функции, чтобы отладчик не был обнаружен, хорошая идея. Если это не очень хорошо, то прошу посоветовать как сделать правильно.

Мне интересно распаковывать программы, которые сжаты серьезными протекторами, поэтому нужно защитить отладчик от обнаружения. Посоветуйте какие плагины установить в олю. Или какие лучше сборки иметь этого отладчика ?

| Сообщение посчитали полезным:

Посоветуйте какие плагины установить в олю.
Phantom, HideDebugger, ...

| Сообщение посчитали полезным:

Dr0p пишет:
Затем SFC.
А что его бороть?


| Сообщение посчитали полезным:

kola1357

Правильно это делается подстановкой потока произвольных данных, без затрагивания вообще модулей. Сложные методы, думаю вам рано вообще про них знать. Обычно используется порча копии проекции не на диске, а в памяти(патчи).

Под Олли плаги все унылое говно. Поставив их кучу можно примитивные методы антидебага обойти наверно, мы это не юзаем.

> А что его бороть?

Привилегии поднимите, аверов снисите. Тогда быть может и получится чонить с кмд.

| Сообщение посчитали полезным:

Dr0p пишет:
Под Олли плаги все унылое говно. Поставив их кучу можно примитивные методы антидебага обойти наверно, мы это не юзаем.
Я читал уроки рикардо нарвахи, знаю только методы антидебага, которые там были рассказаны. Но в серьезных протекторах все обстоит хуже. Поэтому посоветуйте, что почитать про антидебаг олли.
Ну и почему плагины оли говорите не использовать ? Если вы про то, что нужно понимать как они работают и уметь снимать руками, то согласен, я так и изучал антиотладку по урокам нарвахи.

| Сообщение посчитали полезным:

kola1357

Я не говорил что их не надо вам использовать. Про антидебаг было у какого то авера дока, пётр ферри чтоле.

| Сообщение посчитали полезным:

--> http://pferrie.host22.com/papers/antidebug.pdf <--

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: Fridriksson

plutos пишет:

--> http://pferrie.host22.com/papers/antidebug.pdf <--
А на русском нет ? Чтобы не переводить.

| Сообщение посчитали полезным:

kola1357 пишет:
А на русском нет ? Чтобы не переводить.
а еще лучше в жидком виде - чтоб выпил и все и читать не надо

| Сообщение посчитали полезным: Dr0p, plutos, gazlan, yagello

А поискать самому в том же google не судьба?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
А поискать самому в том же google не судьба?
Пробую такой запрос The “Ultimate”AntiDebugging Reference Но не нахожу на русском языке. Подскажите, как правильно.

| Сообщение посчитали полезным:

kola1357 пишет:
Мне интересно распаковывать программы, которые сжаты серьезными протекторами
Не хочу переходить на личности, но по-моему, до этого еще очень далеко.
Может я конечно и ошибаюсь, но при такой беспомощности...

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: sivorog

plutos пишет:
Может я конечно и ошибаюсь, но при такой беспомощности...
В чем же беспомощность ? Я умею распаковывать простенькие пакеты, типа упх, аспак. Вас прошу объяснить как найти эту книжку на русском языке. Вы вроде утверждаете, что она существует на русском. Если ее нет на русском, то зачем издеваться-то ?
Почему бы не указать мне на ошибку ? Я вам написал как я гуглил. Гуглить я умею.

Добавлено спустя 9 минут
Dr0p пишет:
Про антидебаг было у какого то авера дока, пётр ферри чтоле.
А ничего что гугл и знать не хочет кто такой петр ферри ? Просто запрос, чтобы найти информацию про автора ничего не дает в гугле. Проверьте сами, если не верите.
Да и фраза жаргонная "авера дока" мне непонятна, можно объяснить, что это значит ?

| Сообщение посчитали полезным: Radzhab

kola1357 пишет:
можно объяснить, что это значит ?
"дока" значит "документ". Тот самый, на которыя я вам дал прямую ссылку выше.
Не читаете по-английски? Тогда либо ищите (сами) подобные "доки" на русском, либо учите английский язык. За вас ни учить, ни искать никто не будет, хоть это и обидно конечно.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

kola1357

Линк вам на него выше дали. Позорный барыга спиздивший у всех технологии и приписавший свой ник, мной тоже не побрезговал(железячный сброс RPL).

Собрал в кучу все примитивные методы антидебага.

Для общего ознакомления годится дока. Для изучения матчасти и технологий, которые применяются в сложном эффективном коде - бесполезна. На данный момент ручной анализ кода фактически потерял смысл. Используется виртуализация/мутация и в этом случае отладка теряет смысл, так как отладчик запилен под определённую архитектуру.

| Сообщение посчитали полезным:

plutos пишет:
Не читаете по-английски?
Читаю конечно, но я у вас просто спросил есть ли на русском книжка, согласитесь русскому человеку легче читать на родном языке. Конечно если нет ее на русском, буду читать на английском. Базовые сведения и основной запас слов знаю.

| Сообщение посчитали полезным:

kola1357
Вот ещё для развития.

4d27_15.05.2014_EXELAB.rU.tgz - antidebug_tricks.rar

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: kola1357, Fridriksson

ARCHANGEL



Я ничего не понял, хоть и знаю механизм весьма глубоко. Не способность вменяемо описать говорит о не понимании. Не годная дока!

| Сообщение посчитали полезным:

plutos, еще хотел сказать, что по туторы нарвахи дошел до распаковки таких протекторов как asprotect и execrypter. И довольно рад своими результатами в этом деле. Вот многие говорят, что asprotect легче чем execrypter, но мне кажется совсем наоборот. Как вы считаете это хорошие результаты ?

А то похоже все думают тут, что я отладчик первый раз запустил, а я давно уже увлекаюсь крекингом, поэтому немножко обидно.

| Сообщение посчитали полезным:

kola1357

Не про втыканье в отладчик имели ввиду. Вот я например уже хз сколько лет копаюсь в сложном коде, в самом дне так скажем, но я не могу(в смысле не помню что там и как) депакать тот же аспрот. Когда то раньше много лет назад я это наверно делал, уже и не помню. Знание в данном случае не есть мошинальное владение отладчиком на рефлекторном уровне - встретили знакомые символы -- выполнили с кнопками действия.

| Сообщение посчитали полезным: kola1357

kola1357 пишет:
А то похоже все думают тут, что я отладчик первый раз запустил
Мой вам совет: поменьше думайте о том, что там кто про вас думает.
Делайте свое дело, а остальное придет само собой.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: kola1357, gazlan

kola1357 пишет:
asprotect легче чем execrypter, но мне кажется совсем наоборот.
Как вы наивны мой юный друг

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

kola1357 пишет:
функция IsDebuggerPresent(), которая возвращает в eax единицу. Функция из kernel32.dll, я в отладчике подправил, перед ret вставил mov eax,0
Не знаю, как остальных-а мне эта фраза мягко говоря, убила. Дело в том, что править непосредственно IsDebuggerPresent() - самый нубский подход, ибо все тот-же SecuROM элементарно проверяет наличие подобной правки: кладет в PEB.BeingDebugged цифру, отличную от нуля(в ранних билдах 7 - номера своей версии, т.е. 7) и проверяет, появилась ли она на выходе функции, если нет-тогда "секурити модуле какннот би активэйтед, еррор коде 8007".
Да и вообще, кроме заежженого, миллиард раз в степени миллиард, BeingDebugged, и NtQueryInfromationProcess в ring3 редко когда, производители защит, используют что-то большее. Вот и вся антиотладка.

| Сообщение посчитали полезным:

ClockMan пишет:
Как вы наивны мой юный друг
Может быть вы правы, но при распаковке аспра программа периодически обнаруживала отладчик, и программу приходилось кидать в другую папку. А в execrypter мне нравится то, что алгоритм восстановления iat делают через трассировку. В туторах рикардо изучал.

Добавлено спустя 5 минут
ELF_7719116 пишет:
Дело в том, что править непосредственно IsDebuggerPresent() - самый нубский подход
Тогда значит нужно смотреть сравнение после этой функции и править переход, я так полагаю в Securcom после вызова этой апи будет что-то типа:
cmp eax,7
je ...

| Сообщение посчитали полезным:

kola1357 пишет:
Может быть вы правы, но при распаковке аспра программа периодически обнаруживала отладчик, и программу приходилось кидать в другую папку. А в execrypter мне нравится то, что алгоритм восстановления iat делают через трассировку. В туторах рикардо изучал.

ClockMan пишет:
Как вы наивны мой юный друг
+100500

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: