Антиотладочные трюки

Тема в разделе "WASM.RESEARCH", создана пользователем Osen, 17 май 2008.

Страница 2 из 2
  1. OKOB

    OKOB New Member

    Публикаций:
    0
    Регистрация:
    3 окт 2006
    Сообщения:
    19
    OKOB, 20 май 2008
    #21
  2. Osen

    Osen Рие

    Публикаций:
    0
    Регистрация:
    5 апр 2008
    Сообщения:
    283
    Адрес:
    Париж
    k3internal
    Имена файлов могут быть какими угодно, но много ли людей берут их и меняют? Ни капельки ни бред. Я 1000 раз повторял, что антиотладка не панацея, но плохо что кого-то какой-либо из трюков остановит? Ведь не каждый знает, что код будет использовать проверку на имена файлов.
     
    Osen, 20 май 2008
    #22
  3. Osen

    Osen Рие

    Публикаций:
    0
    Регистрация:
    5 апр 2008
    Сообщения:
    283
    Адрес:
    Париж
    k3internal
    Очень много отладочных фич работают ТОЛЬКО под админом? Дальше, тоже самое, если не откроем ну и хорошо, значит поможет другой антиотладочный трюк. Кстати фантомы ваши и оллидадваседы сносятся на раз проверкой некоторых функций на хуки, но не в начале функции а с некоторым смещением:

    рас - если ZwContinue + 0ah == e9h, то нас отлаживают
    два - если GetTickCount + 0ah == e9h, то нас отлаживают
    три - если KiUserExceptionDispatcher + 9 == e9h, то нас отлаживают
     
    Osen, 20 май 2008
    #23
  4. Hellspawn

    Hellspawn New Member

    Публикаций:
    0
    Регистрация:
    4 фев 2006
    Сообщения:
    310
    Адрес:
    Москва
    сам же сказал, антиотладка не панацея, ну похучим на уровне яндра и что измениться? всё равно можно сдетектить, тем более, что есть более простые и изящные способы, не говоря о привате :)

    + тем более, не обязательно выставлять все опции


    только фантом наш, адвансед забугорное :)
     
    Hellspawn, 21 май 2008
    #24
  5. wasm_test

    wasm_test wasm test user

    Публикаций:
    0
    Регистрация:
    24 ноя 2006
    Сообщения:
    5.582
    NtAllocateVirtualMemory позволяет выделить память по виртуальному адресу 0 (если надо найду кодес. фишка в том, чтобы просить выделить по адресу 1 или 2, она сама его округляет до 0 и там выделяет).
    олька может отображать тотолько начиная с 1, да и вообще адреса меньше 0x10000 могут легко ввести реверсера в заблуждение =)
     
    wasm_test, 21 май 2008
    #25
  6. n0name

    n0name New Member

    Публикаций:
    0
    Регистрация:
    5 июн 2004
    Сообщения:
    4.336
    Адрес:
    Russia
    Большая часть баян, но есть и интересные вещи. Также некоторые аспекты не затронуты.
    Я например вызываю NtQueryInformationProcess напрямую через гейт. Юзермодные хуки идут лесом.
     
    n0name, 21 май 2008
    #26
  7. Osen

    Osen Рие

    Публикаций:
    0
    Регистрация:
    5 апр 2008
    Сообщения:
    283
    Адрес:
    Париж
    n0name
    Забаньте его кто-нибудь на недельку. Нет сил уже слушать это.
     
    Osen, 21 май 2008
    #27
  8. z0mailbox

    z0mailbox z0

    Публикаций:
    0
    Регистрация:
    3 фев 2005
    Сообщения:
    635
    Адрес:
    Russia СПБ
    Osen
    Отличный набор признаков, особенно импортируемых апи
    Я когда вижу в модуле хоть намек на использование хоть одного из этого списка - сразу в скратч :)

    В нере помница были кодеки с проверкой на \\.\NTICE, ну че - ставил без кодеков
    А заместо лоховского скайпа есть гизмо
     
    z0mailbox, 21 май 2008
    #28
  9. nester7

    nester7 New Member

    Публикаций:
    0
    Регистрация:
    5 дек 2003
    Сообщения:
    720
    Адрес:
    Russia
    Самотрассировка куда интересней и сложнее :)
     
    nester7, 21 май 2008
    #29
  10. OKOB

    OKOB New Member

    Публикаций:
    0
    Регистрация:
    3 окт 2006
    Сообщения:
    19
    OKOB, 30 май 2008
    #30
Страница 2 из 2