имею:
typedef enum _PROCESSINFOCLASS {
ProcessBasicInformation,
ProcessQuotaLimits,
ProcessIoCounters,
ProcessVmCounters,
ProcessTimes,
ProcessBasePriority,
ProcessRaisePriority,
ProcessDebugPort,
ProcessExceptionPort,
ProcessAccessToken,
ProcessLdtInformation,
ProcessLdtSize,
ProcessDefaultHardErrorMode,
ProcessIoPortHandlers, // Note: this is kernel mode only
ProcessPooledUsageAndLimits,
ProcessWorkingSetWatch,
ProcessUserModeIOPL,
ProcessEnableAlignmentFaultFixup,
ProcessPriorityClass,
ProcessWx86Information,
ProcessHandleCount,
ProcessAffinityMask,
ProcessPriorityBoost,
ProcessDeviceMap,
ProcessSessionInformation,
ProcessForegroundInformation,
ProcessWow64Information,
MaxProcessInfoClass
} PROCESSINFOCLASS;
Кто может продолжить? Прога запрашивает 34-тый элемент, и чего ей надо?? Надо ж, так глубоко копать.

| Сообщение посчитали полезным:

[code]typedef enum _PROCESSINFOCLASS {
ProcessBasicInformation,
ProcessQuotaLimits,
ProcessIoCounters,
ProcessVmCounters,
ProcessTimes,
ProcessBasePriority,
ProcessRaisePriority,
ProcessDebugPort,
ProcessExceptionPort,
ProcessAccessToken,
ProcessLdtInformation,
ProcessLdtSize,
ProcessDefaultHardErrorMode,
ProcessIoPortHandlers, // Note: this is kernel mode only
ProcessPooledUsageAndLimits,
ProcessWorkingSetWatch,
ProcessUserModeIOPL,
ProcessEnableAlignmentFaultFixup,
ProcessPriorityClass,
ProcessWx86Information,
ProcessHandleCount,
ProcessAffinityMask,
ProcessPriorityBoost,
ProcessDeviceMap,
ProcessSessionInformation,
ProcessForegroundInformation,
ProcessWow64Information,
ProcessImageFileName,
ProcessLUIDDeviceMapsEnabled,
ProcessBreakOnTermination,
ProcessDebugObjectHandle,
ProcessDebugFlags,
ProcessHandleTracing,
ProcessIoPriority,
ProcessExecuteFlags,
ProcessResourceManagement,
ProcessCookie,
ProcessImageInformation,
MaxProcessInfoClass // MaxProcessInfoClass should always be the last enum
} PROCESSINFOCLASS;
[/code]

| Сообщение посчитали полезным:

Вот ещё большая подборка структур под vista

www.nirsoft.net/kernel_struct/vista

-----
Security through obscurity is just an illusion

| Сообщение посчитали полезным:

Bolshoe Spasibo za otvety! U menia russkij propal, doigralsya ya s sistemoi (XP).

| Сообщение посчитали полезным:

AlexKlm
U menia russkij propal
Вам сюда --> "Всё о настройке русского" <-- http://ourworld.compuserve.com/homepages/PaulGor/index_ru.htm или сюда --> Portable Russian Virtual Keyboard <-- http://rapidshare.com/files/60463965/RusKlava_Virtual_Keyboard.zip (2 Мб), в архиве файл справки
RusKlava.chm с работающей русской клавиатурой и папка с копией сайта для офлайна.

| Сообщение посчитали полезным:

Кажется все нашел, еще про этот флаг на www.securitylab.ru/analytics/263899.php расказано. Изучаю зашиту игры Tomb Raider Anniversary. Тонко выстроеная зашита, пока не преодолел.

| Сообщение посчитали полезным:

Нашел все о winternl.h :
[url=http://www.reactos.org/generated/doxygen/db/d05/winternl_8h-sourc e.html
]http://www.reactos.org/generated/doxygen/db/d05/winternl_8h-source.ht m l
[/url]
Еще бы в натуральном виде выложили, 2006 года правки. Здорово!

И еще я нашел Windows Anti-Debug Reference:
www.securityfocus.com/infocus/1893

| Сообщение посчитали полезным:

AlexKlm

Так это DEP что-ли обходим? Достаточно упаковать файл чем-нибудь типа ASPack, и он выключиться.

-----
Security through obscurity is just an illusion

| Сообщение посчитали полезным:

pushick пишет:
Так это DEP что-ли обходим? Достаточно упаковать файл чем-нибудь типа ASPack, и он выключиться.
Там явно прописаны имена секций стара, аспака и еще какого-то прота. Нужно просто задать их имена секций для секций в своем проекте, и все - он отключается автоматом.

-----
– Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями...

| Сообщение посчитали полезным:

[dup]

-----
– Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями...

| Сообщение посчитали полезным:

Секция которая содержит EP и имеющая Characteristics & IMAGE_SCN_MEM_EXECUTE == 0 DEP Always off

-----
Security through obscurity is just an illusion

| Сообщение посчитали полезным:

Я Олю запускал раз 20, это наверное мало, я не знаю что такое DEP. Я знаю OEP или EP , еще знаю вход через заднее кирильцо, - TLS-callback. Я все-таки начинающий. За советы - спасибо, цель моя не взломать как можно скорее, а понять как надо ломать.

Там интересный код, после вызова функции NtQueryInformationProcess прога подсчитывает контрольную сумму в пределах бряка. А потом все это валется потому что EBP зависит от конрольной суммы. Толи там экзкпшн должен был произойти (но не произошел из-за дебагера), после чего она бы прыгнула куда надо. Без контрольной точки в том районе - работает как с дебагером так и без. Когда боландовским дебагером атачу - нормально, когда Олей - та говрит что не может, странновато, осталось VC6 и VC7 поробовать, еще IDA есть.

Я цепляю к проге свои переходные библиотеки, почти все есть, они логируют все апи вызовы. Там вобщем, как я понял проблема из-за задержки времени, уж очень тщательно прога проверяет скорость загрузки несколькими функциями, надо подобрать нужные ответы на GetTickCount, NtQueryPerformanceCounter, GetSystemTimeAsFileTime, независимо от времени их получения. Наверное такая проблема существует, не всегда ведь возможно обойти протектор указанным pushick способом.

Там явно прописаны имена секций стара, аспака и еще какого-то прота. Нужно просто задать их имена секций для секций в своем проекте, и все - он отключается автоматом.
- что значит автоматом. Ну можно вручную изменть ЕП на секцию .text, но куда, надо же разобраться. А сама-то секция текст - она вроде не пустая и не сжатая, тут может и резон есть. Только сейчас посмотрел в редакторе. Ну я как обычно, а с ЭкзеКриптором бороться привык, и не заметил этого. Правда, зачем там так много секций?

1 .text , VA:1000 VS:24DEB6 RS:24E000 not , not shared
2 .rdata , VA:24F000 VS:11D7E RS:12000 not , not shared
3 .data , VA:261000 VS:40B3DC RS:1E000 writeable , not shared
4 .shad , VA:66D000 VS:88050 RS:89000 not , not shared
5 .rsrc , VA:6F6000 VS:1640A0 RS:165000 not , not shared
6 ars , VA:85B000 VS:55F1A0 RS:2DA000 writeable , not shared
7 est , VA:DBB000 VS:76A0 RS:8000 not , not shared
8 artem , VA:DC3000 VS:2DB9EA RS:D5000 writeable , not shared
9 celare , VA:109F000 VS:53B8 RS:6000 writeable , not shared
10 .securom‹8 , VA:10A5000 VS:C388B RS:C4000 writeable , not shared

Апликация жирная, на ДотНэт делалась. ОЕП не нашел, слишком много пустых функций никем не вызываемых. Надо редактор довести чтобы сам искал правил и запускал пока не найдет или операционку не свалит. Может готовый инструмент существет?

| Сообщение посчитали полезным:

Оля аттачится только в винде95

| Сообщение посчитали полезным:

AlexKlm пишет:
Я Олю запускал раз 20, это наверное мало, я не знаю что такое DEP. Я знаю OEP или EP , еще знаю вход через заднее кирильцо, - TLS-callback.

34 элемент enum'а который ты искал это ProcessExecuteFlags, с помощью которого реализован DEP - Data Execution Prevention. Этот механизм позволяет делать именно то, что подразумевает его название: предотвращать выполнение кода в областях памяти не предназначенных для выполнения. Полностью расписано в твоей же ссылке www.securitylab.ru/analytics/263899.php.

Выясни чем запакована прога для начала.

-----
Security through obscurity is just an illusion

| Сообщение посчитали полезным:

Пока я выяснил, что мой проц не поддерживает DEP, но я могу обмануть программу, этот вопрос я уже изучал, просто забыл что такое DEP. Если такое включено то все наглые проты будут валиться, и эти же программы тоже работать перестанут. Попробую поиграться.

| Сообщение посчитали полезным:

А программа тогда должна ожидать типа ACCESS_VIOLATION , и надо будет придумывать механизм передачи исключения на её обработчик. Тогда она поймет что надо сменить тактику. Я правильно размышляю?
А что там за название протектора, я не знаю, и как это узнать? Перебора всех распаковщиков?

Уже нашел, прочитал ФакЮ , всем спасибо, дальше я должен сам.

| Сообщение посчитали полезным:

tnt17 пишет:
Там явно прописаны имена секций стара, аспака и еще какого-то прота. Нужно просто задать их имена секций для секций в своем проекте, и все - он отключается автоматом.
Если мне память не изменяет, то третий это tAGES - CD/DVD протектор.

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

7C91D51A 6A 08 push 8
7C91D51C 68 94D5917C push ntdll.7C91D594 ; ASCII ".aspack"
7C91D521 56 push esi
7C91D522 E8 1C57FEFF call ntdll.strncmp
7C91D527 83C4 0C add esp,0C
7C91D52A 85C0 test eax,eax
7C91D52C 8945 F8 mov dword ptr ss:[ebp-8],eax
7C91D52F 74 2A je short ntdll.7C91D55B
7C91D531 6A 06 push 6
7C91D533 68 9CD5917C push ntdll.7C91D59C ; ASCII ".pcle"
7C91D538 56 push esi
7C91D539 E8 0557FEFF call ntdll.strncmp
7C91D53E 83C4 0C add esp,0C
7C91D541 85C0 test eax,eax
7C91D543 8945 F8 mov dword ptr ss:[ebp-8],eax
7C91D546 74 13 je short ntdll.7C91D55B
7C91D548 6A 08 push 8
7C91D54A 68 A4D5917C push ntdll.7C91D5A4 ; ASCII ".sforce"
7C91D54F 56 push esi
7C91D550 E8 EE56FEFF call ntdll.strncmp

A special “feature”, continued
• If any of the sections in the PE file is called “.aspack”,
“.pcle” or “.sforce”, NTDLL calls
ZwSetInformationProcess with a certain set of flags
• This results in disabling the NX (DEP) protection for the
_entire_ process
• All 32-bit programs packed by ASPack do not benefit from
the hardware DEP in Windows, even if enabled and
enforced by the system!
• Same is true about applications protected by StarForce, or
those with “.pcle” sections

| Сообщение посчитали полезным: