Дорогие гуру ситемного пограммирования,
От всего сердца прошу ответить вас на парочку неочевидных вопросов. Я очень ценю ваше время и знаю что вы занятые люди, но все же надеюсь что вы снивзойдете до меня и уделите мне парочку минуток :

1. Как использовать аппаратные бряки, если защита использует все dr регистры в своих целях? Можно ли обойтись без эмулирующего отладчика? (Пожалуйста, опишите подробный алгоритм)

2. Как можно трассировать программу, когда стек "переполнен", при этом не получив BSOD?

3. Вот в этом отрывке комента MS-Rem'a несовсем понятно каким образом ловить и передавать информацию на другой комп:
"Что касается отладчиков, то в анализе старфорса они понадобятся только до определенной степени, т.к. в критических местах старфорс запрещает прерывания (не через cli, а установкой регистров контролера прерываний), и в добавок стирает вектора всех неиспользуемых им прерываний из idt (если прерывание по каким-то причинам всетаки возникнет, то сразу BSOD). И подобных штучек там много. Придется писать различные вспомогательные программки (в основном драйвера режима ядра), которые будут собирать информацию о таких моментах и куда-нибудь ее передавать не используя прерывания и функции ОС (проще всего передавать через Com порт на другой комп, а там сбрасывать на диск)."

4. Подскажите хорошую статью на тему сильных и гадких антиотладочных приемов.


З.Ы. Если эта тема (особенно антиотладка в Star Force 3 и кряк ми MS-Rem'a) уже обсуждалась на форуме (извиняйте, не нашел :s4
просьба ткнуть меня носом в конкретную тему.

Искренне благодарен вам за ваше терпение.

| Сообщение посчитали полезным:

Kript
--> CrackMe от MS-REM<--

Там и солюшн от Deroko есть, вот крякмис отдельно --> Ms-Rem's Ring0 crackme<--

-----
ds

| Сообщение посчитали полезным:

Спасибо большое за ответ, DimitarSerg, солюшен у меня есть, я его еще не читал Самому попрактиковаться хотелось. Возможно придется читать, когда руки опустятся

Но если кто не полениться ответить на мои вопросы, буду очень благодарен

| Сообщение посчитали полезным:

это не форум по защите софта, здесь таких не любят

| Сообщение посчитали полезным:

reversecode, спасибо за замечание, но если честно, не врубился И защищать мне нечего

Кстати, быстро проглядев солюшен так и не нашел ответа ни на один поставенный мною вопрос Там лишь обсуждается int 1/3.

Так что вопросы остаются в силе. Взываю к вам о великие гуру! Пожалуйста!!!

| Сообщение посчитали полезным:

1. В общем случае никак, благо, и без них вполне можно обойтись. Если совсем хочется-эмуляция или динамическая трансляция.
2. Ну задай другой стек.
3. Как передавать по ком-порту-бери да читай доки. Как ловить-зависит от того, что ловить. Как сделаешь-так и будет ловить.
4. На них никто в здравом уме уже упор не делает. А от антиотладки в ринг0 вообще уже давным-давно все отказались.

| Сообщение посчитали полезным:

Благодарю, Archer, за ответ От win2k, наверное, тоже давно отказались, а она у меня до сих пор стоит

1. Я так понимаю, сейчас весь упор на ВМ и метаморф идет? Или уже что другое?
2. Кто-нибудь знает полезные плагины к IDA, скрывающие часть простого полиморфа? Где-то видел, а уже найти не могу...

| Сообщение посчитали полезным:

Kript первое что могу сказать это посоветовать убить 1 день и поискать в гугле об антиотладке и противодействию ей. что то что то лечица. дебугер не важен, он ведь на ОЕП остановица. дальше по вкусу. либо обходиш прот, либо прячешся то Ваши дела. по поводу вм и метоморфа.. тут все сложнее паблик полнофункционала я не видел. каждый лепит свой велик и я в том числе.
З.Ы. многие мечтают собраца и сделать НОРМ деморфер, ток работа большая и никто в чистом виде до конца не дошел. (опять же на скок я знаю, ибо мечта и моя)

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Спасибо водолей!

| Сообщение посчитали полезным: