убить отладчик

Здравствуйте!
Нашел я недавно кейген к игрушке Ricochet Lost Worlds:Recharged от team ECLIPSE
Красивый такой... решил посмотреть на чем написан. Оказалось чем-то упакован.
Ну ладно, думаю, щас я тебя распакую. Открываю в Olly, нажимаю RUN, и тут Оля вылетает...
Попробовал открыть в WinDasm'е(там тоже отладка есть ), но и его эта прога убивает...
Пробовал ставить бряки(hardware и обычные) на TerminateProcess, TerminateThread, GetProcAddress итп,
все равно не могу обойти эту ловушку.
Внимание вопрос :
как в принципе прога может убить свой отладчик?
Я понимаю, зная определенные отладчики, можно поискать заголовок окна, ..., а потом прибить его,
но это не то случай, да и застраховаться от всех отладчиков не получится.
P.S. Я не риппер если что, мне чужого не надо. Спрашиваю для самообразования.
Спасибо.

 

Можно только в системах класса НТ.

Все завязано на DebugActiveProcessStop, была статья где-то но имхо ерунда это все. Написать можно минут за 20

 

Вроде можно изуродовать обработчик исключений и устроить исключение.

 

CyberManiac
В таком случае, если получится конечно же, вместе с отладчиком завершится и отлаживаемое приложение

 

_Serega_

А что, отлаживаемое приложение при этом оставалось в живых?

 

_Serega_
Если убить отладочный процесс, отлаживаемый тоже помрёт.

 

CyberManiac
А какой обработчик тогда изуродовать? И почему отладчик при этом должен издохнуть?
Quantum
Я разве не так сказал?

 

Quantum

Ну, я предлагал несколько иное: путем изнасилования SEH и перехватчика необработанных исключений довести отлаживаемый процесс до безмолвного издыхания. Отчего издохнет и отладчик. С интегрированными в IDE отладчиками такое у меня как-то получилось, хотя и против моей воли Не думаю, что встроенный долбуггер W32Dasm (ему лет даже еще больше, чем я W32Dasm'ом пользуюсь, а я с него начинал) их сильно превосходит в области работы с исключениями.

 

...понял...

Quantum
Автор топика ставит вопрос о завершении отладчика без завершения работы отлаживаемого приложения.

И это возможно только на НТях, при помощи деаттачинга отладчика.

Эта фича реализуется через функцию DebugActiveProcessStop, после чего можно смело прикрывать отладчик функцией TerminateProcess и это не приведет к завершению отлаживаемого приложения.

 

.... а бряк у HuXTUS не выскакивает по той причине что дебуггер уже отключен от отлаживаемого приложения....

 

_Serega_

Он Вам приватно об этом сообщил?

 

Я умею внимательно читать вопрос:

 

_Serega_
Вы умеете читать между строк

Отсюда следует, что приложение продолжает работать?

И, стало быть, не совершить при этом суицид?

 

К примеру, она может:
1. Удостоверится что есть ф-я DebugActiveProcessStop.
2. Попытаться DebugActiveProcess каждый процесс, в случае успеха сразу делать DebugActiveProcessStop.
3. Тот, который его отлаживает, не получился сделать DebugActiveProcess.
4. Сделать в него инжект, потом DebugActiveProcessStop для своего процесса и убить.

Метод конечно извращенный, но "законный".

 

неточное утверждение, NT и 2k тоже платформа NT, попробуй отдетач там дебаггер =)

 

Я ничего такого не сказал.

Прога умирает вместе с отладчиком!
Меня просто заинтересовала любая реализация подобного поведения (для использования в своей защите/для обхода вражеской обороны).

 

ой
позор на мою седую голову
догадался сунуть прогу в PeID, и вот что он показал: tElock 1.0 (private) -> tE!
Снял защиту автораспаковщиком...и...и все ))) все заработало, ничего не вылетает.
Спасибо всем за ответы.
С уважением.

 

Вот, что я смог сделать по этой теме.
Код, приведенный ниже каким-то образом убивает Ольку(со всеми плагинами) и ВинДасм если надо.
По крайней мере у меня
Если чесно, то, что получилось, вышло скорее случайно,
изначально я шел немного другим путем:
находил отладчик и к нему цеплялся DebugActiveProcess,
а параллельно запускался "левый" процесс, которому передавался PID
отлаживаемого процесса и который должен был его TerminateProcess.

Идея появилась так: Натравил две Оли друг на друга(File->Attach) и одну
насильно завершил. Получил BSOD. (у меня WinXP Pro SP2)

Вот. Но в итоге все сократилось и получился такой код.
Недостаток: он сам не в состоянии определить кто его отлаживает, поэтому
просто ищет либо окно Оли, либо дасма.

Код:

Код (Text):

1. start: 
2.     jmp @f
3.     szShellApi              db  'Shell32',0
4.     szProgram               db  'killll.exe',0
5.     szDebugger              db  'OLLYDBG',0         ;dlja Olly
6. ;   szDebugger              db  'OWL_Window',0      ;esli nado ubitj WinDasm
7.     szMutex                 db  'pizdez',0
8.     @@:
9.  
10.     invoke OpenMutex, 1, TRUE, offset szMutex
11.     cmp eax, 0 
12.     jnz @f
13.     invoke CreateMutex, 0, 0, offset szMutex
14.     invoke WinExec, offset szProgram, SW_SHOW
15.     jmp @kill  
16.     @@:
17.  
18.     ;POISK DEBUGGER'a
19.     @kill:
20.     invoke FindWindow, offset szDebugger, NULL
21.     push eax
22.     invoke GetWindowThreadProcessId, eax, esp
23.     pop eax
24.     ;
25.     invoke DebugActiveProcess, eax  ;eax == PID debugger'a
26.  
27. end start

 

это не серьезно, класс окна OLLYDBG в OllyDbg.exe только полные ламеры не патчат