Добрый день! Простите сразу, если такая тема была, но я не нашел на форуме. Я только начинаю разбираться с приемами крекинга. Загрузил в ollydbg PE-шку (не упакованную - проверено в PEiD). Нажал F9 - вывалился иксэпшн. Как я понимаю, это защита от дебагинга, т.к. 1) при обычном запуске все запускается, 2) в дампе ОЗУ при отладке есть юникод-строка "Debugger".

Подскажите, пож-та, есть ли способ борьбы/обхода этой защиты. Т.е. чтобы PE запускался под отладчиком ollydbg.

| Сообщение посчитали полезным:

Тут этот вопрос хорошо освещен, прям один в один как у тебя - http://www.wasm.ru/series.php?sid=17 вот только главу точно не могу вспомнить.

| Сообщение посчитали полезным: hlmadip

(IsDebuggerPresent)

http://www.wasm.ru/article.php?article=ollydbg19

| Сообщение посчитали полезным:

Посмотри, откуда приложение аварийно завершается: View - Call Stack, так быстро найдёшь место проверки и уберёшь её. Либо скачай какие-нибудь плагины, скрывающие OllyDbg.

Так же ещё приложение может установить свой обработчик исключений и их самостоятельно обрабатывать, что нельзя отладить. Смотри функцию SetUnhandledExceptionFilter().

| Сообщение посчитали полезным:

S0mbre пишет:
Нажал F9 - вывалился иксэпшн
Какой иксепншн-то? На Shift-F9 нажимать не пробовал? Иксэпшен в игнор поставить?

-----
IZ.RU

| Сообщение посчитали полезным:

S0mbre пишет:
Нажал F9 - вывалился иксэпшн

Для некоторых программ иксэпшены - вполне нормальное явление(особенно часто встречался в дельфовых прогах)

| Сообщение посчитали полезным:

ff0h пишет:
(IsDebuggerPresent)http://www.wasm.ru/article.php?article=ollydbg19

Пробовал идти этим путем. На самом деле нашел вызов IsDebuggerPresent (см. скрин). Поставил соответствующие брейпоинты, дотрассировал до условного перехода JE (который, как я понял, отвечает за закрытие программы, если она работает под отладчиком - т.к. переход стоит как раз после проверки регистра EAX на ноль). Ну, изменил на JMP... Однако затем оказалось, что эта проверка осуществляется не в самом модуле программы, а в системной библеотеке uxtheme.dll (...\system32). При попытке сохранения пропатченного кода olly об этом предупреждает (см. скрин). Для любопытства я все же сохранил патченную dll-ку с этим же именем в ...\system32 (предварительно сделав бэкап исходного файла). Но не прокатило - все равно под отладчиком отказывается запускаться.

PS. Иксэпшн не имеет значения (на самом деле, это E06D7363 - exception non-continuable). Проверил EAX - действительно, как описано в статье, после вызова IsDebuggerPresent в него записывается единица. Так что здесь все ясно )))
PPS. Вопрос открыт.

8ae9_12.05.2011_EXELAB.rU.tgz - screen.jpg

| Сообщение посчитали полезным:

Какая ольга версии? Если 1.10, то скачай плагин для скрытия phant0m или StrongOD

| Сообщение посчитали полезным:

а прогу саму можно увидеть?

| Сообщение посчитали полезным:

Сделай вот так в настройках

и не парься.

| Сообщение посчитали полезным:

@Neo32
2.01. v1 может потом поставлю, пока не ставил.

@hlmadip
Конечна))

@Vovan666
Поставил как ты показал. Один фиг. Вываливается упомянутый "E06D7363 - exception non-continuable". См. скрин.

4952_13.05.2011_EXELAB.rU.tgz - screen21.jpg

| Сообщение посчитали полезным:

Нормально запускается без всяких исключений. Попробуй другую версию(сборку) olly.

| Сообщение посчитали полезным:

olly 1.10 - норм
ida 5.2 - норм

| Сообщение посчитали полезным:

Да, все в порядке. Скачал olly1.10 с плагинами. Помогло решение @Vovan666 - игнорить все иксэпшны.
Всем спасибо. Буду ковыряться дальше.

PS. Эту прогу ковыряю с тем, чтобы обойти ограничение по распечатке электронных изданий газет на виртуальный pdf принтер. Прога позволяет печатать только на реальные принтеры. Подозреваю, где-то должна стоять проверка доступных принтеров. В список принтеров выводятся только "реальные". Вот и хочу обойти проверку принтеров))

| Сообщение посчитали полезным:

Ребята подскажите как обойти эту штуку http://s018.radikal.ru/i504/1705/8b/1ed464cea34b.jpg
при установке Breakpoint вылазит такое окошко, упаковщик VMProtect. Может есть плагин какой специальный, стоит Phant0m но он только помогает запустить F8 чтобы прога стартовала, как вылазит окно запроса пароля ставлю бряк и всё дальше не могу пройти из за этой беды.

| Сообщение посчитали полезным:

sarsmen пишет:
упаковщик VMProtect
это не упаковщик. ScyllaHide в помощь, только фантома удали перед этим

| Сообщение посчитали полезным:

чёт бряк на какой-то странной инструкции стоит.
вероятно, пересчитывается чексумма и палится, так как на месте того что должно быть находится 0xCC
хардбряк должен помочь

| Сообщение посчитали полезным:

TryAga1n пишет:
это не упаковщик. ScyllaHide в помощь, только фантома удали перед этим
ставил он вообще палится сразу
http://s008.radikal.ru/i306/1705/39/e35d014c3b42.jpg
http://s04.radikal.ru/i177/1705/e3/46dc96b70d80.jpg

| Сообщение посчитали полезным:

sarsmen пишет:
ставил он вообще палится сразу
во-первых, сциллу надо настроить сначала - прописать несколько адресов функций для используемой винды (в комплекте идёт гайд, как это сделать по символьным файлам)
во-вторых, надо в настройках включить соответствующий профиль (ну или просто поиграться с флажками)
в-третьих, никакой плагин не поможет, если ты будешь тупо лепить софтбряки на код, который проверяется на целостность.

вот мои настройки для вмпрота, дебажится норм



sarsmen пишет:
тока на бряки реагирует что ломают типа софт
я спрошу еще раз - а с хардбряком как работает? железный бряк, ставится через отладочные регистры.

| Сообщение посчитали полезным:

Тут хоть тупо лепи хоть не тупо, эта защита VMP поэтому и не даёт пройти я уже как тока галки не ставил, а вот Фантом даёт пройти тока на бряки реагирует что ломают типа софт.

| Сообщение посчитали полезным:

deprecated.
Используйте поиск по форуму.

-----
vx

| Сообщение посчитали полезным: