Привет. Сразу скажу, что я не гуру в крекинге, но нужна помощь. Использую Olly.
Собственно проблема такого рода. Есть ланчер, который запускает приложение. После запуска приложения ланчером, к приложению невозможно приаттачиться(ERROR_ACCESS). Но если запускать приложение непосредственно отладчиком, то приложение нормально дебажится.

Ланчер создает процесс посредством CreateProcessW в состоянии Suspended и в последствии запускает его с помощью NtResumeThread. К процессу невозможно приаттачиться даже сразу после выполнения CreateProcessW в Suspended состоянии. Подскажите куда копать?

| Сообщение посчитали полезным:

Xamuk пишет:
Подскажите куда копать?
1. разобраться что делает лаунчер.. и делать это руками/скриптом в дебагере
2. дебажить лаунчер и ставить мемори брейкпоинты на таргетированный процесс
3. вбить в прогу.. на OEP jmp -2. и когда лаунчер отпустит процесс пробовать к нему присоединится(процесс будет зациклен)
ЗЫ. но все эти советы.. ничего не значат.. не зная что там происходит.

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Может лаунчер грузит какой-нибудь драйвер и уже он блочит доступ к остальным процессам?

Сабж случаем не ГН клиент?

| Сообщение посчитали полезным:

Apocalypse пишет:
Может лаунчер грузит какой-нибудь драйвер и уже он блочит доступ к остальным процессам?
ну нельзя аттачится к суспенженому процессу))) ну незя..(банально дебагеру.. никто не отвечает..процесс то в паузе. ) так же как и к тому.. который уже дебажится..

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Xamuk пишет:
Подскажите куда копать?
Как там ключ в реестре? Image File Execution Options

При отладке сервисов пользовался при испытаниях самописного дебаггера...

Вполне может сойти добавление в раздел одноимённого с приложением подраздела и установка нужных ключей с указанием, что запустить на старте процесса. При это не важно будет, какой лоадер запускает таргет. Всё описано на MSDN!

И, кстати, более простой вариант - Olly 2 уже не имеет ограничений в отладке только одного процесса. Можно, сказать ей, чтоб ловила запуск дочерних.

-----
IZ.RU

| Сообщение посчитали полезным:

VodoleY пишет:
3. вбить в прогу.. на OEP jmp -2. и когда лаунчер отпустит процесс пробовать к нему присоединится(процесс будет зациклен)
Правильный вариант.

Добавлю еще, что 0xFEEB (jmp-2) на EP приложения, возможно, необходимо ставить в рантайме - это когда лаунчер проверяет имидж запускаемого процесса и/или приложение упаковано протектором.
В таком случае комбинация п.2 и 3 из совета VodoleY:
- сначала в olly грузим лаунчер, ставим HWBP на CreateProcessW (лучше на NtCreateProcess), по выполнении патчим EP у target (как угодно, хоть через ProcessHacker)
- отпускаем на выполнение
- аттачимся Olly к жертве, ставим бряк на EP, восстанавливаем байты и вперед.

| Сообщение посчитали полезным:

Apocalypse пишет:
Сабж случаем не ГН клиент?
Вам надо на битву экстрасенсов, тот самый ланчер

Запускаемый ланчером клиент как выяснилось запакован Фемидой, скорее всего по этому и не аттачится. А ланчер после создания процесса пишет в него данные авторизации по фиксированному адресу и возобновляет. Так что разбираться нужно скорее всего с клиентом.

| Сообщение посчитали полезным:

awlost пишет:
Правильный вариант.

Добавлю еще, что 0xFEEB (jmp-2) на EP приложения

Ага, не забудьте только прочистить радиатор от пыли и поменять термопасту перед таким способом (именно в таком запущенном состоянии находятся компы у большинства хомяков). А то не дай бог, при успешном запуске приложения, но до аттача олькой пойдёте покушать, попить чаю... и пикалка не подключена/BIOS варнинги отключены - как минимум выкл из-за перегрева

Не знаю про ГН клиент, и какой лоадер используется. Но в более общем случае лоадер может и мониторить состояние таргета путём "вшивания" различных кодов для IPC, в том числе и по таймауту вырубать его или даже восстанавливать всё, как было...

-----
IZ.RU

| Сообщение посчитали полезным: