Как спрятать отладчик IDA от asprа ?

Тема в разделе "WASM.RESEARCH", создана пользователем UMan, 13 сен 2006.

  1. UMan

    UMan New Member

    Публикаций:
    0
    Регистрация:
    23 мар 2006
    Сообщения:
    15
    Адрес:
    Ukraine
    Люди, а в принципе возможно спрятать отладчик (в частности иду) от аспра?

    Задача: пытаюсь расковырять экзешник используюший длл. Экзешник с защитой. но не пакованный и её обойти, с горем пополам, получается, а длл-ка зашифрована аспром...
    какая версия не знаю (квик анпакер определяет как аспакер и ничего сделать не может, pied говорит ASProtect 1.23 RC4 - 1.3.08.24 -> Alexey Solodovnikov).
    на самом деле какой-то старый аспр (длл 2004 года)


    при попытке запуска через отладчик - ругается на отладчик, пробовал идой и олли с установленным Hide Debuger 1.0.1 - аспр его детекит.

    полностью руками расшифровать длл пока не получилось, код детектящий дебагер распаковывается в памяти, соответственно поправить в файле у меня не получается...


    кто виноват знаю - солодофникаф. (гад! бедным студентам из-за таких скоро кушать нечего будет)

    а вот "что делать?" не знаю... задумываюсь о суициде :)

    зы
    попробую расшифровать stripper-ом старым, правда сомневаюсь, что распакованный сработает... бубу копать еще в этом направлении.
     
  2. Asterix

    Asterix New Member

    Публикаций:
    0
    Регистрация:
    25 фев 2003
    Сообщения:
    3.576
    текущая версия 124

    http://www.wasm.ru/forum/viewtopic.php?pid=118380#p118380
     
  3. Asterix

    Asterix New Member

    Публикаций:
    0
    Регистрация:
    25 фев 2003
    Сообщения:
    3.576
    + переименовать OllyDbg.exe в что-нибудь менее приметное, и запускать его, но оригинал
    оставить лежать в этом же каталоге
    + найти и изменить в хекс редакторе класс окна OLLYDBG
     
  4. UMan

    UMan New Member

    Публикаций:
    0
    Регистрация:
    23 мар 2006
    Сообщения:
    15
    Адрес:
    Ukraine
    спасибо, вечером попробую, хорошо если всё так просто, но если олли (ида) запущены, но процесс не отлаживается - то и защита не срабатывает...
    там в начале самой проги совсем простенькая защита mov eax,[eax]
    а в самой длл-ке намутили, что-то совсем непонятне(((

    а есть для иды что нить типа Hide Debuger ?
     
  5. PaCHER

    PaCHER New Member

    Публикаций:
    0
    Регистрация:
    25 мар 2006
    Сообщения:
    852
    Попробуй сначало стрипером распаковать AsprStripper 2.11,2.07,2.13b
     
  6. UMan

    UMan New Member

    Публикаций:
    0
    Регистрация:
    23 мар 2006
    Сообщения:
    15
    Адрес:
    Ukraine
    PaCHER
    да конечно пробовал, 2.07 распаковывает, но с ошибками, оно работает, но... как-то странно. старшие версии ничего сделать не могут.
    Но автору стрипера - просто низкий поклон!!!

    Asterix
    шикарная тулза!!! по сравнению со старыми версиями прогресс огромный!!!
    РЕСПЕКТИЩЕ!!!

    а есть такой плагин для IDA ?
    очень уж правильная штука )
     
  7. kyprizel

    kyprizel New Member

    Публикаций:
    0
    Регистрация:
    1 авг 2003
    Сообщения:
    232
    Адрес:
    TSK
    может я туплю, но, а что если попробовать
    http://ida-x86emu.sourceforge.net/?
    т.е. не отлаживать, а эмулировать...
    да и в целом, проект достаточно интересный)
     
  8. Sergey_R

    Sergey_R Member

    Публикаций:
    0
    Регистрация:
    9 янв 2005
    Сообщения:
    138
    kyprizel
    Проект действительно интересный, однако, эмулируются пока далеко не все команды. :о( Для просмотра работы небольших фрагментов более чем подходит, а вот для полной эмуляции на нем аспра, боюсь, "малавата будет". ;о)
    Однако, почему бы и не попробовать!
     
  9. censored

    censored New Member

    Публикаций:
    0
    Регистрация:
    5 июл 2005
    Сообщения:
    1.615
    Адрес:
    деревня "Анонимные Прокси"
    kyprizel
    clerk assistant? $)
     
  10. UMan

    UMan New Member

    Публикаций:
    0
    Регистрация:
    23 мар 2006
    Сообщения:
    15
    Адрес:
    Ukraine
    я так понял, что без ida sdk это не скомпилить?
    или я плуганул?
    пойду искать сдк к пятой иде( саму иду проще найти )))