 |
eXeL@B —› Вопросы новичков —› Как справиться с антиотладочным приемом в программе? |
| Посл.ответ | Сообщение |
|
|
Создано: 22 сентября 2006 16:53 · Личное сообщение · #1 Установил программу NewsBin PRO 5.21. Посмотрел, попробовал поставить bp в нужном месте, запустил прогу а она не запускается, появляется окно и говорит типа не может создать некий документ. Ну да ладно. Попробовал поменять какой-нибудь байт в программе - тоже самое, прога не запускается. bp можно ставить только в самом начале прграммы, начал было разбираться что к чему, да потонул в сис. библиотеках. Я так понимаю это какой-то антиотладочный прием, что делать?  |
|
|
Создано: 22 сентября 2006 21:06 · Поправил: Sturgeon · Личное сообщение · #2 Попробуй ставить аппаратные бряки. Правой кнопкой мыши->Breakpoint->Hardware, on execution з.ы. Обычно в таких случаях дают ссылку на прогу. Вроде нашел переход, который если занопить, прога будет запускаться даже при истекшем триале. Только вот прога проверяет себя на целостность, и если в ней поправить пару байтиков, она будет выделываться. Проверку я пока не сообразил как отключить. |
|
|
Создано: 22 сентября 2006 21:54 · Личное сообщение · #3 sliderZ пишет: что делать? Ну еще отладчик указать. Т.к. приемы зависят от отладчика. Аппаратный бряк это "дедовский" прием и помогает только от проверок целостности, а основные приемы антиотладки и защиты от нее давно уже расписаны - смотри разделы Новичку и FAQ ! Недавно и на форуме это обсуждалось. |
|
|
Создано: 22 сентября 2006 22:09 · Личное сообщение · #4 tundra37 пишет: Аппаратный бряк это "дедовский" прием и помогает только от проверок целостности А там и есть видать только проверка целостности. PEId выдал 27 алгоритмов проверки  .
Поставил бряк (аппаратный) на условный переход. Запустил прогу. Брякнулся. Забил переход нопами. Запустился. Все работает даже после окончания триала. Может стоить попробовать лоадером ее? Правильный серийник найти наверное можно. Только прога лезет в нет, чтобы его проверить, а это уже палево. Поэтому на мой взгляд только патч. Хотя я могу и ошибаться. Как обычно. |
|
|
Создано: 23 сентября 2006 12:02 · Поправил: Bitfry · Личное сообщение · #5 sliderZ пишет: попробовал поставить bp в нужном месте, запустил прогу а она не запускается Когда ты ставишь bp (по F2 или командой или ещё как), в памяти по указанному адресу отладчик вписывает отладочное прерывание - int3 (байт ССh). Если программа проверяет контрольную сумму некоторого участка памяти во время загрузки или переодически во время работы, то, разумеется, такой бряк засветится. Поэтому Sturgeon предложил железный бряк, он устанавливается через значение одного из отладочных регистров процессора и не меняет память процесса. Можно отключить все проверки контрольных сумм, чаще всего это делается очень просто (отловом на чтение нужного байта и простым анализом CRC-процедуры). ----- Всем привет, я вернулся |
|
|
Создано: 23 сентября 2006 13:20 · Личное сообщение · #6 Если обычный CRC, то можно с помощью плагина KANAL - Krypto Analyzer for PEiD найти эту процедуру проверки на целостность! ----- ЗЫ: истЕна где-то рядом, Welcome@Google.com |
|
|
Создано: 24 сентября 2006 02:56 · Поправил: sliderZ · Личное сообщение · #7 Bitfry Да это все ужо понятно,спасибо. Проверку CRC давно отрубил почитав faq для новичков, сейчас с прогой сражаюсь - хитропопая оказалась. |
|
|
Создано: 25 сентября 2006 11:38 · Личное сообщение · #8 sliderZ Слушай, я тоже взялся поковырять прожку. Так там вроде ничего такого кроме проверки CRC? Переход 004496B3 /74 1D JE SHORT nbpro.004496D2
забить нопами и вроде как все? У меня работало даже после перевода времени на год вперед. А чего у тебя не получается? |
|
|
Создано: 25 сентября 2006 13:57 · Личное сообщение · #9 Sturgeon Так это конечно работает, но некрасиво. При загрузке 2 окна вылазит, splash screen и окно браузера с message of the day, не думаю что в зарегистрированной проге они должны вылазить, к тому же на тулбаре "register newsbin" висит - подозрительно. Вот и хотел ее полностью доломать чтобы избавиться от вышеперечисленного, но уже понял что активация через интернет + вся эта муть под названием mfc42 явно пока мне неподвластны... |
|
|
Создано: 25 сентября 2006 23:52 · Личное сообщение · #10 А как ты обошел проверку CRC? После того как PEiD мне выдал кучу проверок я чего-то испугался там ковыряться. А где здесь на сайте инфа про CRC? Я искал (честное слово), но нашел очень мало и мне это не помогло  .
|
|
|
Создано: 26 сентября 2006 01:19 · Личное сообщение · #11 По-моему легче найти место проверки на целостность - поставить на любой байт в программе бряк "мемори он аксцесс", и прервешься на месте считывания этого байта для проверки CRC, а потом ессно выйдешь на процедуру сравнения, далее действуешь по-обстоятельствам P.S сильно не пинать - т.к. только начал исследовать защиты ----- Само плывет в pуки только то, что не тонет. |
|
|
Создано: 26 сентября 2006 04:04 · Личное сообщение · #12 Sturgeon Именно так как DrFits написал. В итоге попадаешь в language.dll, там переход по адресу 100010A9 занопил. |
|
|
Создано: 26 сентября 2006 04:24 · Личное сообщение · #13 Да, вроде разобрался. Спасибо. А почему переход по адресу 004496B3, забитый нопами у тебя не работает. У меня вроде никаких лишних надписей нет. А splash screen у меня тоже вылазит, но с надписью "Thank you for registering!". Может так и должно быть? |
|
|
Создано: 26 сентября 2006 08:48 · Личное сообщение · #14 У меня это работает, но splash screen висящий секунд 7 при загрузке (+окно message of the day) подозрительны. Обычно в зарегеных прогах такого не бывает. |
|
eXeL@B —› Вопросы новичков —› Как справиться с антиотладочным приемом в программе? |
Для печати