Хочу создать защиту для своей DLL. Для того, чтобы понять что делать взял пример защищенной DLL без исходного кода, только бинарник.
Первое, что я решил сделать – загрузить ее через LoadLibrary. Загрузки не происходит, выкидывается исключение. Загрузил в IDA, включил трассировку.

Трассировка доходит до следующего места:



После этого происходит передача управления сюда:



При этом выводится сообщение:

«5F30670E: Priveleged instruction (exc.code c0000096, tid 8328 )»

Ну и исключение генерируется.
После этого я попробовал написать простенькую DLL, загрузить ее и также оттрассировать. В результате: выполнение кода почти что «один в один», но с той разницей, что sysenter передает управление обратно в вызывающую exe-программу (из которой загрузка DLL происходит), т.е. сразу после LoadLibrary, т.е. здесь все нормально.
Верны ли мои дальнейшие рассуждения ?
Инструкция sysenter обеспечивает быстрый доступ с прикладного уровня на уровень ядра (ринг 0). Инструкция принимает три скрытых аргумента из MSR регистров: SYSENTER_CS_MSR (174h), SYSENTER_ESP_MSR (175h), SYSENTER_EIP_MSR, по которым и будет передаваться управление. Однако, их можно и подменить. В этом случае, можно перенаправить поток выполнения на «левый» код. Что, возможно и произошло в моем случае. Если это так, то существуют ли способы мониторить эти MSR регистры, отследить, где искажение ?
Если мои рассуждения неверны, пожалуйста поправьте меня. Спасибо.

| Сообщение посчитали полезным:

Да, MSR можно подменить, но длл это сделать не может, а только драйвер режима ядра. Тем более, что до sysenter исполняется только Ваш и системных длл код. Вы же не подменяли MSR, правда? Копаете не в ту сторону.

Управление передается не на 5F30670E, а на точку входа dll. Почему она далее решает "умереть" - надо изучать алгоритм от точки входа.

| Сообщение посчитали полезным:

ему уже давно на rsdn ответили

--> Link <--

| Сообщение посчитали полезным: Abraham

constant
Реально, не создаётся процесс перед этим? Поставьте бряк на NtCreateProcess/NtCreateProcessEx. Не мешало бы проверить несколько API на хуки/бряки. Проверку на хуки, используются ли они, быстрее можно установить бряком на VirtualProtect/VirtualProtectEx, NtProtectVirtualMemory, хотя может реально и напрямую соответсвующий сервис использоваться (через sysenter/int 2e), для чего для полной совместимости по идее должна бы ранее выполняться инструкция cpuid, а также GetVersion, чтобы определить возможности проца и ос.

-----
IZ.RU

| Сообщение посчитали полезным:

.vmp1 это не вм_прот случаем? там же на TLS код еще. если я не ошибаюсь.. а вы поймали антидебаг.. управление по SEH передаваться должно

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY пишет:
там же на TLS код еще. если я не ошибаюсь..
а оно в DLL разве работает?

| Сообщение посчитали полезным:

TLS Callback в DLL работает, если она грузится статически.
Раз ответили на рсдн, то закрыто.
И по созданию защит-это не сюда, форумом ошиблись.

| Сообщение посчитали полезным: