 |
eXeL@B —› Вопросы новичков —› Протектор палит брейкпоинты |
| Посл.ответ | Сообщение |
|
|
Создано: 06 января 2014 20:07 · Поправил: abernusknage · Личное сообщение · #1 С горем пополам сумел запустить прогу, защищенную протектором Obsidium 1.2.x, под отладчиком Olly 1.10 + StrongOD. Проблема в том, что когда ставлю брейк на доступ к памяти (даже ко всей секции кода, а не на конкретный адрес), то брейки хоть и срабатывают, но программа дальше не запускается и закрывается без каких-либо предупреждений (даже месседжбокса об обнаружении отладчика нет). То же самое с INT3 и Hardware брейками. Без брейков всё под отладчиком прекрасно запускается. Как сделать так, чтобы брейки не обнаруживались протектором? P.S. Сама программка на всякий случай  |
|
|
Создано: 06 января 2014 20:32 · Личное сообщение · #2 Точно Obsidium 1.2.x?! А скрипты не работают? например http://www.pediy.com/kssd/pediy06/pediy6900.htm тут еще есть - http://tuts4you.com/download.php?view.331 |
|
|
Создано: 06 января 2014 21:26 · Поправил: abernusknage · Личное сообщение · #3 PeID и ExeInfo PE показывают, что обсидиум 1.2.x, либо 1.3.x. Скрипты не работают. По мануалам как раз всё и делал, но там абсолютно ничего не написано про скрытие OllyDbg, и в частности про то, как сделать так, чтобы брейки не палились протектором. Если со скрытием я вопрос решил, то с брейками не ясно. Кстати, PeiD показывает, что Entropy и Fast Check не запакованы:  Я конечно новичок, но вроде как для файла, защищенного таким протектором это весьма странно. Что это может значить? |
|
|
Создано: 06 января 2014 22:14 · Личное сообщение · #4 abernusknage Ставь Аппаратные бряки |
|
|
Создано: 06 января 2014 22:29 · Личное сообщение · #5 abernusknage вы ведь аж целых 800 рублей предлагали за прогу в запросах  теперь решили, что вам все подскажут, что именно нужно сделать?
|
|
|
Создано: 06 января 2014 23:03 · Личное сообщение · #6 tihiy_grom, во-первых мне никто так и не написал с предложением. Во-вторых, не преувеличивайте. На бряках взлом всего приложения далеко не заканчивается. А вопрос у меня только по ним. |
|
|
Создано: 06 января 2014 23:05 · Личное сообщение · #7 Mishar_Hacker, аппаратные бряки к сожалению детектируются, ровно как и анти-анти аппаратные бряки в виде отдельного плагина. |
|
|
Создано: 07 января 2014 00:03 · Личное сообщение · #8 abernusknage Аппаратные бряки в обсидиуме не детектируются. Протектор в каждом своём SEH очищает регистры DR, и заодно иногда юзает самотрассировку через эти же регистры. |
|
|
Создано: 07 января 2014 00:06 · Личное сообщение · #9 Странно. Тогда как же он узнает. В общем, спасибо за консультацию, буду разбираться... |
|
|
Создано: 07 января 2014 00:23 · Личное сообщение · #10 abernusknage Поставь плагин фантом к оле и будут срабатывать хард бряки. INT3 бряки ставь не начало команд, а пару команд ниже. При установке мемори бряка на секцию, дай ей сначала полные права (Full Access). Антиотладка юзается в нитях (threads), один поток главный, два говна-их надо заморозить. Сфоткай секции файла. P.S. Ссылка на файл не работает. | Сообщение посчитали полезным: abernusknage |
|
|
Создано: 07 января 2014 10:53 · Поправил: abernusknage · Личное сообщение · #11 Djeck, большое спасибо! Ссылку проверил, работает. Но на всякий случай перезалил на другой обменник: По поводу секций файла:  Там действительно от двух до четырех потоков новых в определенный момент стартуют, поэтому надо с ними работать. Это главный момент, который я не заметил. Учитывая всё это, получается Obsidium далеко не 1.2.x или 1.3.x, а просто выдает себя за них. Спасибо ещё раз, буду копать! |
|
|
Создано: 07 января 2014 13:59 · Личное сообщение · #12 чуть украден oep Code:
только импорт весь прот забрал придется писать скрипт или плагин готовых по импорту инструментов не встречал а бряки прот палит только до прихода на oep после можно ставить любые бряки | Сообщение посчитали полезным: abernusknage |
|
eXeL@B —› Вопросы новичков —› Протектор палит брейкпоинты |
Для печати