Всем привет
Вобщем ковыряю одну прогу, там защита на дебаггер. И при запущенном дебаггере она сообщает что так мол и так сначала выруби дебугер потом запускай. Ставлю бряк на MessageBoxA, после отработки функции управление возвращаеться той проге на адрес A478E2, смотрю выше jmp`ы. Ставлю бряки на джампы, колы (рядом с этим адресом), и они не срабатывают ! Т.е. явного вызова типа Call MessageBox нет, а откуда он вызываеться я не знаю. И не знаю как узнать А если этот вызов вобще делаеться как нибудь так: MOV EIP, 77D7050B. Тогда вобще Поделитесь опытом пожалуйста как отловить этот вызов ?

| Сообщение посчитали полезным:

А прогу может выложишь?

| Сообщение посчитали полезным:

MaStak Что утебя за деббугер? Если Olly то скачай отсюда плагин для сокрытия Olly:
http://www.tuts4you.com/request.php?57 http://www.tuts4you.com/request.php?57 и поставь там все галочки, впринцепе должно помочь.

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

MaStak
Попробуй на память поставить точку останова, на чтение текстовой строки, что в окошке появляется.
В олли жмешь alt-m, там ctrl-b, пишешь текст и ищешь.

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Вызов действительно может происходить неудобно, что отслеживать его тяжко. Варианта 2: трассировка (возможно автоматическая) и разглядывание лога; забить болт на мессагу и искать чтение серийника или другие события. Есть изощрённые варианты типа смотреть Last branch в MSR регистрах, которые софт айс кажет, но варя их не эмулит.

| Сообщение посчитали полезным:

спасибо за ответы
Veliant
Это декомпилятор Ex4 to Mq4 - www.rapidshare.ru/760548
ClockMan
Мне Syser приглянулся А при попытке загрузки этой проги через ольку падают обе
Crawler
Я знаю адрес этой строки, но она видишь ли вызываеться почемуто из MessageBox.
Archer
Вот насчёт " или другие события" это интересно. Только вот не знаю я какая гадкая функция сдаёт отладчика, а потому и не знаю что искать. Хотел начать с хвоста и постепенно подойти к тому месту где прога решает Be or Not to Be. Насчёт "Last branch в MSR " чессно говоря не понял, наверно ещё рано.
А ведь какая интересная замута, ложит в стек подставной обратный адрес и обычным джампом уходит в функцию и никаких следов ...
Вот если бы бряк можно было ставить не на адрес, а на значение какого либо регистра(тогоже eip например)

| Сообщение посчитали полезным:

Нашол. Это IsDebuggerPresent

И опять вызываеться както через
Она на самом деле из 3 строк ? Как она работает ?
Результат помещаеться CX ?

| Сообщение посчитали полезным:

MaStak
даже из кода видно что результат помещается в EAX
Почитай --> Вот тут <-- http://wasm.ru/article.php?article=ollydbg19 , здесь как раз подробно описывается работа IsDebuggerPresent

| Сообщение посчитали полезным:

tihiy_grom
Спасибо. Я про СХ спросил потому что:
1. IsDebuggerPresent возвращает либо True либо False
2. Единственный регистр который имеет значение до входа в функцию 0 а после выхода 1, это ЕСХ.

| Сообщение посчитали полезным:

wasm.ru не открываеться, и уже давно.

| Сообщение посчитали полезным:

MaStak
Вообще-то васм живой,попробуй открыть его через какой нибудь анонимайзер/прокси.

| Сообщение посчитали полезным:

MaStak
Он отлично открывается и уже давно - выбрось своего провайдера
И пользуйся правкой постов ...

rapidshare.com/files/139825022/19.mht.html

| Сообщение посчитали полезным:

Ну вот. А я в кеше гугла шарюсь
64.233.183.104/search?q=cache:89xPsGU7HyQJ:www.wasm.ru/article.php%3Farticle%3Dollydbg19+http://wasm.ru/article.php%3Farticle%3Dollydbg19&hl=ru&ct=clnk&cd=1

| Сообщение посчитали полезным:

Увы, IsDebuggerPresent оказалось всего лишь ширмой. Либо для выявления отладки в защищённом режиме. Кстати, вы знали что есть ещё вариант Syser'a работающий в защищённом режиме www.sysersoft.com/download/SyserWin32Debugger.zip.

Какие функции могут использоваться для отлова отладки в реальном режиме ? OpenFile, CreateFile вроде не используються Я пробовал ставить хук на StringToChr, прога явно шарит в поиске драйвера отладки.
И ещё, хоть на разных машинах адреса могут и отличаться, но на всякий случай, нашёл какой-то странный адрес (в разных прогах один и тотже) 5B291BE8, там либо 0 либо 1, подозреваю что там результат функции выявления отладки, у кого-нибудь такое было ?

| Сообщение посчитали полезным:

Чо-то мне всегда казалось, что винда как раз и работает в защищённом режиме. Причём тут реальный режим и функции винды, я себе слабо представляю. А адрес похож на адрес какой-то системной либы... Взял бы ты сборку ольки, которая не особо палится антидебагом, а не изобретал сам колесо, пока ещё опыта немного...

| Сообщение посчитали полезным:

MaStak Интересует, есть какие-нибудь подвижки в ковырянии? Чего-нить получается? Здесь вот (http://www.exelab.ru/f/action=vthread&forum=10&topic=5986& page=12#12, пост 16 )пишут, что в демке вообще не заложено возможности декомпилировать весь код, она всегда делает только первую функцию. Что скажешь?

| Сообщение посчитали полезным:

Archer
Я имел ввиду толькото что, IsDebuggerPresent выявляет факт отладки, если отладчик "защищённый" а не "реальный". Олька же тоже "защищённый". Еслиж я запускаю "реальный", он замораживает всё, ни один процесс не может шевельнуться. Обратите внимание на часы внизу справа, они тоже перестают обновляться. И вот если винда находиться в такой нирване, IsDebuggerPresent бесполезен. Она в ЕАХе возвращает 0, т.е. какбудто отладки нет. А в защищённой версии 1. Сборка Ольки у меня с вашего сайта от TSRh, я уже писал что при запуске с ней закрываеться и и она и прога.
NDD
Мне интересна только защита, т.к. ну ооочень крута сделана.

| Сообщение посчитали полезным:

Сборки ольки недостаточно зачастую дла борьбы с антиотладкой, плагины ручками треба натыкать типа PhantOm и галочки в плагинах руками потоптать нужные.
Что за защищённый и реальный отладчик я тоже слабо представляю. Режим работы процессора один, просто олька работает на 3 кольце защиты, а сайс на 0, используя драйвер и задирая иркл, что система и подвисает. Возможно, в меня сейчас полетят тучи помидоров за непонимание и тд, но шёл бы ты лучше статьи почитал про процессор, как работает олька, про дебаг апи, про антиотладку, топики про фантом и методы антиотладки, а потом уже хватался ломать.

| Сообщение посчитали полезным:

оК
www.xakep.ru/post/22444/default.asp

| Сообщение посчитали полезным:

Ты год то видел? Он вообще пишет vxd-дров, это ж старьё что ппц. Особо не разбирался, но неактуально, короче. И вообще ксакеп никогда не был для меня авторитетом в последней инстанции.

| Сообщение посчитали полезным:

По симптомам EXECryptor ковыряет

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Можно на пальцах обьяснить, почему при трассировке команды STD комп перезагружаеться ?

| Сообщение посчитали полезным:

команда STD устанавливает флаг SF отвечающий за направление работы строковых функций... точнее увеличение или уменьшение значения адреса (вродь так, а то меня сегодня что-то глючит)
сама команда ребут вызвать не может, значит вероятно она устанавливает драйвер и он палит отладку... хз еще что сказать

| Сообщение посчитали полезным:

SL7549
Обращаю внимание, именно при ТРАССИРОВКЕ. Т.е. если пройтись по этому месту от бряка до бряка в режиме выполнения. всё нормально исролняеться, никаких ребутов. Я прдположил что это антитрассировочный приём, ... или глюк дебагера . Попроую в SoftIce.

| Сообщение посчитали полезным:

MaStakСам вызов функции PUSHFD Уже на водит на мысль что программа пытаеться определить взведён флаг трассировки или нет.

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Кладёт флаги по pushfd, трассируешь-потому и кладёт 302 вместо показываемых 202. Но дальше всё равно это значение не используется. В данном коде не юзается антиотладка. И уж подавно не уйдёт в ребут на STD никаким образом. Насчёт драйвера-хз, ибо прогу не смотрел.
Целеустремлённость-дело, безусловно, хорошее, но, может, уже пора внять пожеланиям и поучиться на чём-нибудь попроще, а потом уже хвататься за это?

| Сообщение посчитали полезным:

Archer
Кроме этой я занимаюсь ещё 2 прогами. Пока по этой глухо, занимаюсь теми. Как появляеться интересная мысля снова возвращаюсь к ней. Вот в этот раз ушёл на 14020 команд от EP Дальше STD помешало Кстати в других прогах реакция на трассировку STD аналагичная - ребут.
Прога на самом деле не лёгкая ибо написана крэкером, он то уж знал как взламываються проги.

| Сообщение посчитали полезным:

MaStakВыложи прогу, мне самому интерессно на неё взглянуть.А вдругих отладчиках такаяже ерунда? или ты непробовал.

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan
Даг выкладывал, пост №6
Чтоб проверить можно в масме набить этот кусок, мне кажеться результат будет такой же, не знаю не пробовал

offtop: 1.09.2008 - сегодня я первый раз в жизни взломал прогу

| Сообщение посчитали полезным:

занятная прога ex4_to_mq4 - она здесь в нескольких топиках одновременно фигурирует в вяло текущей форме.
здесь еще один
-http://www.board4all.cz/showthread.php?t=109394

| Сообщение посчитали полезным: