Было бы интересно выслушать Ваши наработки по антиотладочным и антиэвристическим кодывым-вставках... (Гугл + wasm + cracklab тоже просматриваю ) С чем можно в файле поиграть, типо расшифровки в отдельной декрипт-процедуре данных или части кода или что-то вставить, типо SEH подмены...
тебе нужна консультация по заите софта что ли? Почитай туторы по снятию определенных протов,там много чего найдешь касательно антиотладки. Про эвристику вроде все на wasm.ru расписано...можно и самому нафантазировать,было бы желание и умение. Почитай "Ассемблер и дизассемблирование" Пирогова. в одной из глав он описывает методы запутывания
Пусть сам попрактикуется... Советую RLPack (последний)... Там основные антиотладочные средства + отслеживание отладчика по запущеным плугам, таких как OllyAdvanced. Самое забавное, что Апокс выложил все это на своем сайте http://ap0x.jezgra.net/protection.html. Одной рукой проты пишет, другой крякает =)))) Если хочешь поизучать обфускацию, пореверсь PESpin... Давольно занятно... Про запутывание дизассемблеров и обфускацию давольно интересно расписанно в книге Reversing Secrets of Reverse Engineering Журнальчики с http://arteam.accessroot.com/ читай!!!
ТС,если пишешь большой проект и надо его защитить реверсь фемиду (= Хотя в каждом проте есть свои плюсы и недостатки.
брать чужое - нет смысла, т.к. почти на всю антиотладку есть хайды))) антиэмуль, дык - берёшь мануал по асму и какую нибудь команду поизвращённее, и результат её выполняния юзуется в качестве частей ключа (серийника, и т.д.) а вообще берёшь отладчик и смотришь, что можно придумать))) да и багов они не лишины)))
SEH не в моде. Та же олька позволяет нормально трасировать обработчик сеха. Отслеживание процесса/окна отладчика - само собой. Вполне типичная подъ..пка - TlsCallback. В сумме со этим можно применять контроль целостности кода, классы с виртуальными функциями, полиморф/метаморф, виртуальную машину. ЗЫ. На васме была интересная тема со спаливанием ольки через rdtsc при обращении к заведомо неинициализированной странице кода или данных. ЗЫЫ. Некоторые плагины ольки ставят дрова (extremehide.sys) - можно спалить.
ага))))))))))) Ставить драйвер и мутить что-то уже там.. внизу, передавая данные в приложение. Шифровать код, причем так чтобы в любой момент времени расшифрован был только один участок... Проверять целостность кода, причем рендомно и везде и из любых мест... Навестить второй процесс, скрыть и защитить его драйвером, этот процесс будет мониторить целевой, что-нибудь проверять... Грит конечно скажет, что всё это ***ня, но тогда вообще все приемы - ***ня. Поэтому давайте будем рассматривать это как возможный прием антиотладки а не идеальный. Вообще давно уже этим не заморачивался.
не выход вообще)) перекомпилить и поправить пара минут... надо искать не стандартные подходы а стандартные есть тут hxxp://hellspawn.nm.ru/works/EDD.0.44.zip и в xADT 1.2 KEZ как вариант всё можно, но есть масса тонкостей.. антивири) фаеры) которые так просто не дадут ничё сделать в итоге: дроф для защиты приложения - это крайняя мера и по-моему вообще безперспективная...
Ну ясен хрен что не выход) KEZ, ты мне все это уже рассказывал, когда мы шли в обменник ) В принципе можно вообще навесить кучу полиморфов, три виртуальных машины друг в друге и так далее.. реверсить тоже будет непросто
nerezus, у меня один одногруппник хочет написать отладчик для брейнфака =))) правда я ему уже сказал какой он нарк)
Great, Вы знаете как это невебанно виснуть будет???? Раск с сотоной(эт который про крякмис Лорда Феникса писал) ща пишут вм, компонент С, морф до и после + вм....
http://www.cracklab.ru/f/index.php?action=vthread&forum=1&topic=9338 Качаем тот крякми в качестве примера,как оно будет тормозить... По-моему нет такой защиты,которую не взломали и нет такого прота,который не сняли. Самый крутой прот на данный момент времени это StarForce,но его тоже снимают,на втором месте Фемида со антиотладкой через ring0. Любишь рекурсию? З.Ы.:сори за оффтоп
Тоже отпишусь, как вариант можно использовать многопоточную защиту. Большинство отладчиков отлаживают каждый поток по отдельности. Например ситуация, когда пользователь вводит свой пароль, второй поток обрабатывает буфер, который содержит его имя пользователя и меняет регистр или производит еще какие действия. При пошаговой трассировке одного потока, остальные выполняются свободно от него и могут свободно работать с отлаживыемым потоком(модифицировать его код).
Ni0x, ты про наномиты??? Дебуг блокер... или несовсем.... ну например последний спин или арма проблема в том, что самому это реализовывать лень, а про навесные проты hell сказал..
