Каким образом возможно защитить Win API (bpx,bpm)? Возможно ли из 3 кольца менять обработчики 3 и 1 прерываний? Если можно то как(пример кода очень желателен)? Насчёт bpm менять контекст не подходит, потому как айс не даёт менять др-ы. Да и просьба простых вариантов типа телок и песпин не предлагать. Желательно описание работы аспра 2 в этом направлении и его аналогов.
sl0n Ты почитай сначала "Об упаковщиках в последний раз" и др. статьи по реверсингу, и потом спрашивай конкретные вопросы. Вряд ли кому-то захочется проводить здесь ликбез, да ещё и с исходными кодами.
> Каким образом возможно защитить Win API (bpx,bpm)? Дизасм первого десятка команд и поиск CCh > Возможно ли из 3 кольца менять обработчики 3 и 1 Нет естесно =) > Насчёт bpm менять контекст не подходит, потому как айс не даёт менять др-ы. Вопервых айсом сейчас все менше пользуются - всем подаваю гую, а во вторых dr надо не обнулять а использовать для чего-нибудь стоящего, например хранить в них указатели или ключи для раскриптовки =)
Asterix - Во первых вопрос был задан конкретно. Во вторых ликбез мне не нужен я спрашивал про РЕДКИЕ методы. Да упаковщиков я читал - интересный текст Голова дизамить по инструкциям и искать не подходит пихается бряк на более глубокую функцию и усё (нтдлл). Да, дизасм инструкций делает песпин при помощи движка андерикса из последнего 29а. Когда его смотрел так удивился знакомому коду Ж) Слушай Голова, а ты и в самом деле ГОЛОВА, это насчёт др-ов, суём туда ключ и если под айсом то XYZ раскриптуешь. Люди ещё идеи какие нибудь есть? Вопрос насчёт антитрассировки если я сделаю к примеру классику (rdtsc), а у меня система то многозадачная и лаг от нагрузки разный... То прога будет работать через раз Ж(( Что можно предпринять? Это идея ... Ж)
Голова дизамить по инструкциям и искать не подходит пихается бряк на более глубокую функцию и усё надо использовать и дизасмить самую "глубокую" ф-ю (native в NT+). хотя можно дизасмить не самую "глубокую", но с заходом во внутрение процедуры. проблема в том, что даже при отсутствии отладчика, в длл-ках есть коды CCh, видимо в ветках, обрабатывающих фатальные ошибки. Слушай Голова, а ты и в самом деле ГОЛОВА, это насчёт др-ов, суём туда ключ и если под айсом то XYZ раскриптуешь плохо ты читал Володину статью там даже кусок кода приводился от telock'а Что можно предпринять? realtime priority?
Да этот кусочек про телок я упустил или не правильно понял ... Я относился к сбросу др-ов в телоке как снятию отладочных брейков, и потому думал, что это в новом айсе отдыхает Ж( А вторую сторону медали я не разглядел ... Ещё варианты?
Вопрос насчёт антитрассировки если я сделаю к примеру классику (rdtsc) Твоя т.н. классика полностью и однозначно засовывается в... гм... Далеко, короче. Твой rdtsc легко проэмулировать. В третьих упаковщиках (а эта глава уже готова) детально расписывается, что делать и как. Так что, если ты хочешь что-то сделать в третьем кольце - самое реальное - это поступить так, как предложил Dr.Golova. И почитай вторую часть - там расписан кусок с самотрассировкой на DR-регистрах. Возьми с сайта, т.к. я чуток перетряхивал статью несколько раз.
"Очень даже интересно как вы называете документ не нужным" (С)Швондер Ж)) Когда ждать 3-ей части ? А я вот надеялся что хоть volodya что нибудь толковое скажет - какие нибудь не тривиальные идеи, трюки в третьем кольце ...
