TaNkist
15.10.2006, 13:19
Простая Антиотладка на Delphi.
Надеюсь, ты человек грамотный и знаешь, что такое отладчик (debugger). Если нет, то знай, что отладчик – программа, позволяющая следить за выполнением другой проги, отлавливать вызовы определенных функций. Дебаггер позволяет отловить ошибки или разобраться в работе какого-нибудь софта. Примерами являются OllyDebugger, SoftICE, gdb и десятки других мене известных и популярных.
Как ты понимаешь мало-какому програмеру понравиться, когда его прогу отлаживают. Особенно это не нравится шароварщикам и вирусописателям. Ведь если первые могут лишиться денег. То вторые рискуют поплатиться свободой и провести ближайшие пару лет в тюрьме. Поэтому хакеры учатся противодействовать отладчикам. В Интернете большинство материалов, посвященных антиотладке, рассчитаны на профессионалов, я же постараюсь объяснить все просто даже для новичков, а в качестве языка программирования у нас будет выступать Delphi.
Использование специальной api-функций.
В Windows есть специальная api-функция, позволяющая определить находимся ли мы под отладкой. Имя ей IsDebuggerPresent. Она не принимает параметров и возвращает true, если отладчик присутствует. Кстати, в заголовочном файле Windows.pas этой функции нет, поэтому объявить ее нужно самому.
function IsDebuggerPresent():boolean; stdcall; external 'kernel32.dll';
begin
if IsDebuggerPresent()=true then MessageBox(0,'debugger present','DebuggerChecker',0)
else MessageBox(0,'No debugger','DebuggerChecker',0);
end.
Поиск отладчика
Как и любая программа, отладчик имеет свой процесс, а значит может быть обнаружен через список процессов. Получить этот список можно разными способами. Мы будем работать с ToolHelp Api.
var
Snap: dword;
Process: TPROCESSENTRY32;
begin
Snap := CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if snap<>INVALID_HANDLE_VALUE then
begin
Process.dwSize:=SizeOf(TPROCESSENTRY32);
repeat
if lstrcmp(Process.szExeFile,'OLLYDBG.EXE')=0 then
begin
MessageBox(0,'OllyDBG work!','DebuggerChecker',0);
halt;
end;
until not Process32Next(Snap, Process);
end;
MessageBox(0,'OllyDBG not work!','DebuggerChecker',0);
end.
Большинство отладчиков общаются с пользователями через графический интерфейс. Т.е. мы можем вычислить дебаггер, найдя его окно. Поиск окон осуществляется функцией FindWindow.
var h:HWND;
begin
h := findwindow(nil,'OllyDbg');
If h<>0 then MessageBoxA(0,'OllyDbg work!','DebuggerChecker',0)
else MessageBoxA(0,'OllyDbg not work!','DebuggerChecker',0);
end.
Борьба с брейкпоинтами
Брейкпоинт (бряк) – точка останова, подходя к этой точке, работа программы приостанавливается, и управление передается отладчику. Рассмотрим стандартный взлом: на функцию вывода сообщения (MessageBox) о неправильной регистрации ставится бряк, дальше анализируется близлежащий код и пишет кейген или кряк. Теперь ты понимаешь, почему важно бороться с бряками. Программный брейкпоинт представляет собой байт CCh (опкод команды int3). Нам нужно прочитать первые байты api-функции, перед ее вызовом, и если они равны CC, то нужно воздержаться от вызова( либо восстановить эти байты, прочитав оригинальный файл на диске). Прочитать можно функцией ReadProcessmemory.
function breakpoint(dll:Thandle;addr:pointer):boolean;
var buffer:byte;
i: cardinal;
begin
result:=false;
ReadProcessMemory(dll,addr,@buffer,1,i);
if buffer=$CC then result:=true;
end;
var usr32:thandle;
begin
usr32:=GetModuleHandle('user32.dll');
if breakPoint(usr32,GetProcAddress(usr32,'MessageBoxA '))
then MessageBoxA(0,'Breakpoint on MessageBoxA','DebuggerChecker',0)
else MessageBoxA(0,'MessageBoxA is clear','DebuggerChecker',0)
end.
Вот мы и познакомились с простенькой антиотладкой на Delphi. Теперь ты в состоянии защитить свою программу от начинающего крякера или написать учебный протектор.
© TanKisT email:tank1st@bk.ru
http://hackedpro.org
Надеюсь, ты человек грамотный и знаешь, что такое отладчик (debugger). Если нет, то знай, что отладчик – программа, позволяющая следить за выполнением другой проги, отлавливать вызовы определенных функций. Дебаггер позволяет отловить ошибки или разобраться в работе какого-нибудь софта. Примерами являются OllyDebugger, SoftICE, gdb и десятки других мене известных и популярных.
Как ты понимаешь мало-какому програмеру понравиться, когда его прогу отлаживают. Особенно это не нравится шароварщикам и вирусописателям. Ведь если первые могут лишиться денег. То вторые рискуют поплатиться свободой и провести ближайшие пару лет в тюрьме. Поэтому хакеры учатся противодействовать отладчикам. В Интернете большинство материалов, посвященных антиотладке, рассчитаны на профессионалов, я же постараюсь объяснить все просто даже для новичков, а в качестве языка программирования у нас будет выступать Delphi.
Использование специальной api-функций.
В Windows есть специальная api-функция, позволяющая определить находимся ли мы под отладкой. Имя ей IsDebuggerPresent. Она не принимает параметров и возвращает true, если отладчик присутствует. Кстати, в заголовочном файле Windows.pas этой функции нет, поэтому объявить ее нужно самому.
function IsDebuggerPresent():boolean; stdcall; external 'kernel32.dll';
begin
if IsDebuggerPresent()=true then MessageBox(0,'debugger present','DebuggerChecker',0)
else MessageBox(0,'No debugger','DebuggerChecker',0);
end.
Поиск отладчика
Как и любая программа, отладчик имеет свой процесс, а значит может быть обнаружен через список процессов. Получить этот список можно разными способами. Мы будем работать с ToolHelp Api.
var
Snap: dword;
Process: TPROCESSENTRY32;
begin
Snap := CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if snap<>INVALID_HANDLE_VALUE then
begin
Process.dwSize:=SizeOf(TPROCESSENTRY32);
repeat
if lstrcmp(Process.szExeFile,'OLLYDBG.EXE')=0 then
begin
MessageBox(0,'OllyDBG work!','DebuggerChecker',0);
halt;
end;
until not Process32Next(Snap, Process);
end;
MessageBox(0,'OllyDBG not work!','DebuggerChecker',0);
end.
Большинство отладчиков общаются с пользователями через графический интерфейс. Т.е. мы можем вычислить дебаггер, найдя его окно. Поиск окон осуществляется функцией FindWindow.
var h:HWND;
begin
h := findwindow(nil,'OllyDbg');
If h<>0 then MessageBoxA(0,'OllyDbg work!','DebuggerChecker',0)
else MessageBoxA(0,'OllyDbg not work!','DebuggerChecker',0);
end.
Борьба с брейкпоинтами
Брейкпоинт (бряк) – точка останова, подходя к этой точке, работа программы приостанавливается, и управление передается отладчику. Рассмотрим стандартный взлом: на функцию вывода сообщения (MessageBox) о неправильной регистрации ставится бряк, дальше анализируется близлежащий код и пишет кейген или кряк. Теперь ты понимаешь, почему важно бороться с бряками. Программный брейкпоинт представляет собой байт CCh (опкод команды int3). Нам нужно прочитать первые байты api-функции, перед ее вызовом, и если они равны CC, то нужно воздержаться от вызова( либо восстановить эти байты, прочитав оригинальный файл на диске). Прочитать можно функцией ReadProcessmemory.
function breakpoint(dll:Thandle;addr:pointer):boolean;
var buffer:byte;
i: cardinal;
begin
result:=false;
ReadProcessMemory(dll,addr,@buffer,1,i);
if buffer=$CC then result:=true;
end;
var usr32:thandle;
begin
usr32:=GetModuleHandle('user32.dll');
if breakPoint(usr32,GetProcAddress(usr32,'MessageBoxA '))
then MessageBoxA(0,'Breakpoint on MessageBoxA','DebuggerChecker',0)
else MessageBoxA(0,'MessageBoxA is clear','DebuggerChecker',0)
end.
Вот мы и познакомились с простенькой антиотладкой на Delphi. Теперь ты в состоянии защитить свою программу от начинающего крякера или написать учебный протектор.
© TanKisT email:tank1st@bk.ru
http://hackedpro.org