 |
eXeL@B —› Вопросы новичков —› Может ли прога вешать отладчик? |
| Посл.ответ | Сообщение |
|
|
Создано: 25 октября 2017 14:08 · Личное сообщение · #1 Вот такой софт (что-то с электроникой...) http://rgho.st/7sP7NxHHH 3 Mb. Почему-то все эксперименты заканчиваются зависанием и Olly, и IDA. Можете глянуть - это защита такая?  |
|
|
Создано: 25 октября 2017 14:28 · Поправил: Kindly · Личное сообщение · #2 да ниче она не вешает, там считать, имхо, надо для разблокировки, так в лоб сходу не запатчишь. код формируется на основе GetVolumeInformation. если есть валидная пара, то самый простой вариант volume id запатчить с ключом. egorus2010 пишет: Можете глянуть - это защита такая? может сразу в запросы? ----- Array[Login..Logout] of Life |
|
|
Создано: 25 октября 2017 14:37 · Поправил: egorus2010 · Личное сообщение · #3 Мне оно не нужно. Это на другом сайте оно в запросах лежит. А я так, пробую, для себя... PS. НУ вот, ввел цыфири в окно регистрации, зашел в Олю, нашел в памяти свою строку, поставил бряк на чтение из памяти. И всё - висит... Может, я совсем не так все делаю, в принципе выбора правильного пути. Но почему зависает-то? Или это только у меня проблема? |
|
|
Создано: 25 октября 2017 18:19 · Поправил: ksol · Личное сообщение · #4 А может быть вы попробуете проанализировать её в статике, не запуская процесс. Это не консольное приложение, а оконное? Начните с локализации в коде строки запроса. Что она запрашивает - имя, а затем пароль? Если так, то что с ними потом делает? И, конечно, предварительно надо знать упакована программа или нет, и на чём она написана. |
|
|
Создано: 25 октября 2017 19:22 · Личное сообщение · #5 egorus2010 пишет: зашел в Олю, нашел в памяти свою строку, поставил бряк на чтение из памяти. Не зависает ничего! Там даже ничем не накрыто - обычный MFC 6.0 с отдельными либами (он strlen даже в библе считает). Зачем бряки на память? GetWindowTextA - на буфере норм всё срабатывает. начиная отсюда: Code:
потом Code:
А это не DES? Что-то похожее... Kindly пишет: самый простой вариант volume id запатчить с ключом. Да нах саму WinAPI патчить - он HWID с самого начала формирует и пихает его в textbox и оттуда уже читает  ИМХО, там должно одним битхаком всё работать - прога древняя, при форсинге мусора через криптоалго ничего не фолтит. |
|
|
Создано: 25 октября 2017 19:32 · Личное сообщение · #6 ELF_7719116 Так у тс виснет скорее всего из за антидебага, отключается от отладки процесс/поток, что приводит к висяку отладчика. Вангую что именно так, тоесть это самая основная причина висяка. А у вас не виснет, так эти сервисы фиксятся плагинами. ----- vx |
|
|
Создано: 25 октября 2017 19:36 · Личное сообщение · #7 difexacaw пишет: Так у тс виснет скорее всего из за антидебага Ну да DENUVO накрыто  Инфа 146%Code:
Нет там никакого антидебага и плагинами я не пользуюсь. Нечему там виснуть. |
|
|
Создано: 25 октября 2017 19:42 · Поправил: difexacaw · Личное сообщение · #8 ELF_7719116 Смотрите, виснут два инструмента, которые связаны лишь отладочным портом. Тоесть логично что причина зависания - прекращение доставки событий на порт. Этому одна причина - отключение процесса/потока от порта, логично ? Удалите плаги с олли и посмотрите зависнет ли, думаю что так и будет, точнее я даже уверен. Есть конечно один есчо вариант - загрузка левых фильтров, типо ав. Изначально следовало привести список модулей и плагинов, но как тут принято - будем гадать. ----- vx |
|
|
Создано: 25 октября 2017 20:26 · Личное сообщение · #9 Какие API используются для отключения потока/процесса от отладки? |
|
|
Создано: 25 октября 2017 20:28 · Личное сообщение · #10 Lambda NtRemovePsDebug/NtSetThInfo(HideThrFromDbg). И это первое что фильтрует любой плагин. ----- vx | Сообщение посчитали полезным: Lambda |
|
|
Создано: 25 октября 2017 21:38 · Поправил: Kindly · Личное сообщение · #11 ELF_7719116 пишет: Да нах саму WinAPI патчить - он HWID с самого начала формирует и пихает его в textbox и оттуда уже читает эм... америку мне открыл я сказал про самый простой вариант: ключ + патч volume id, к которому он вяжется. будет читать эту апи при наличии ключа, никуда не денется, там аж три вызова. иначе как прога сверять ключ будет?  добавлено топикстартер, проделанную работу давай, если хочешь, чтобы тебе подмогли. ломать за тебя мало кто станет. а переминать как ты отладчик запускаешь и с какими плагами, лишь добавит к кондидату на закрытие, имхо. ----- Array[Login..Logout] of Life |
|
|
Создано: 25 октября 2017 21:41 · Поправил: egorus2010 · Личное сообщение · #12 На другом компе не виснет. Нужно проверять разницу. Или плаги, или в опциях что-то навертел... Добавлено[t][/t] В общем, это что-то странное. Я перенес папку Оли с "рабочего" на "зависающий" - вроде заработало, потом снова начало подвисать. Я сюда ответ даже не мог вписать - курсор моргает, а символы не печатаются. Пока принудительно Олю не завершил. Так что вопрос, наверное, снят. Ну или напоследок. Оля лезла в Интернет. Файер ее заблокировал. А чего она лезла - не должна вроде? |
|
|
Создано: 25 октября 2017 22:31 · Личное сообщение · #13 Хотите дзен-вариант - берёте второй инстанс отладчика и отлаживаете им первый и разбираетесь, где зависло и почему. | Сообщение посчитали полезным: difexacaw |
|
|
Создано: 26 октября 2017 08:27 · Поправил: egorus2010 · Личное сообщение · #14 Всем спасибо. Направление понятно. |
|
|
Создано: 26 октября 2017 14:38 · Личное сообщение · #15 также если используется блокирующий сокет и сервер не отвечает. |
|
|
Создано: 27 октября 2017 00:07 · Личное сообщение · #16 egorus2010 пишет: Это на другом сайте оно в запросах лежит. а что за сайтец если не секрет ? а то тоже хочится полистать кто чего запрашивает по мимо exelaba) |
|
|
Создано: 27 октября 2017 00:18 · Личное сообщение · #17 |
|
eXeL@B —› Вопросы новичков —› Может ли прога вешать отладчик? |
Для печати