Было бы интересно выслушать Ваши наработки по антиотладочным и антиэвристическим кодывым-вставках... (Гугл + wasm + cracklab тоже просматриваю :)) С чем можно в файле поиграть, типо расшифровки в отдельной декрипт-процедуре данных или части кода или что-то вставить, типо SEH подмены...

тебе нужна консультация по заите софта что ли?
Почитай туторы по снятию определенных протов,там много чего найдешь касательно антиотладки.
Про эвристику вроде все на wasm.ru расписано...можно и самому нафантазировать,было бы желание и умение.
Почитай "Ассемблер и дизассемблирование" Пирогова. в одной из глав он описывает методы запутывания

Почитай туторы по снятию определенных протов
Пусть сам попрактикуется...

Советую RLPack (последний)... Там основные антиотладочные средства + отслеживание отладчика по запущеным плугам, таких как OllyAdvanced. Самое забавное, что Апокс выложил все это на своем сайте http://ap0x.jezgra.net/protection.html. Одной рукой проты пишет, другой крякает =))))

Если хочешь поизучать обфускацию, пореверсь PESpin... Давольно занятно... Про запутывание дизассемблеров и обфускацию давольно интересно расписанно в книге Reversing Secrets of Reverse Engineering

Журнальчики с http://arteam.accessroot.com/ читай!!!

Пусть сам попрактикуется...
ТС,если пишешь большой проект и надо его защитить реверсь фемиду (=
Хотя в каждом проте есть свои плюсы и недостатки.

брать чужое - нет смысла, т.к. почти на всю антиотладку есть хайды)))
антиэмуль, дык - берёшь мануал по асму и какую нибудь команду поизвращённее,
и результат её выполняния юзуется в качестве частей ключа (серийника, и т.д.)

а вообще берёшь отладчик и смотришь, что можно придумать)))
да и багов они не лишины)))

SEH не в моде. Та же олька позволяет нормально трасировать обработчик сеха.
Отслеживание процесса/окна отладчика - само собой.
Вполне типичная подъ..пка - TlsCallback.
В сумме со этим можно применять контроль целостности кода, классы с виртуальными функциями, полиморф/метаморф, виртуальную машину.

ЗЫ. На васме была интересная тема со спаливанием ольки через rdtsc при обращении к заведомо неинициализированной странице кода или данных.

ЗЫЫ. Некоторые плагины ольки ставят дрова (extremehide.sys) - можно спалить.

берёшь мануал по асму и какую нибудь команду поизвращённее,
и результат её выполняния юзуется в качестве частей ключа (серийника, и т.д.)


ага)))))))))))

Ставить драйвер и мутить что-то уже там.. внизу, передавая данные в приложение.
Шифровать код, причем так чтобы в любой момент времени расшифрован был только один участок... Проверять целостность кода, причем рендомно и везде и из любых мест... Навестить второй процесс, скрыть и защитить его драйвером, этот процесс будет мониторить целевой, что-нибудь проверять... Грит конечно скажет, что всё это ***ня, но тогда вообще все приемы - ***ня. Поэтому давайте будем рассматривать это как возможный прием антиотладки а не идеальный. Вообще давно уже этим не заморачивался.

ЗЫЫ. Некоторые плагины ольки ставят дрова (extremehide.sys) - можно спалить.

не выход вообще)) перекомпилить и поправить пара минут...

надо искать не стандартные подходы :)

а стандартные есть тут
hxxp://hellspawn.nm.ru/works/EDD.0.44.zip
и в xADT 1.2 :)

KEZ как вариант всё можно, но есть масса тонкостей..
антивири) фаеры) которые так просто не дадут
ничё сделать :) в итоге:
дроф для защиты приложения - это крайняя мера и по-моему
вообще безперспективная...

Да есть над чем подумать ;)
Всем спасибо кто откликнулся, получил много полезных идей и ссылок...

не выход вообще)) перекомпилить и поправить пара минут...

надо искать не стандартные подходы :)
Ну ясен хрен что не выход)


Ставить драйвер и мутить что-то уже там.. внизу, передавая данные в приложение.
Шифровать код, причем так чтобы в любой момент времени расшифрован был только один участок... Проверять целостность кода, причем рендомно и везде и из любых мест... Навестить второй процесс, скрыть и защитить его драйвером, этот процесс будет мониторить целевой, что-нибудь проверять... Грит конечно скажет, что всё это ***ня, но тогда вообще все приемы - ***ня. Поэтому давайте будем рассматривать это как возможный прием антиотладки а не идеальный. Вообще давно уже этим не заморачивался.KEZ, ты мне все это уже рассказывал, когда мы шли в обменник )
В принципе можно вообще навесить кучу полиморфов, три виртуальных машины друг в друге и так далее.. реверсить тоже будет непросто[QUOTE]

Как вариант 0- писать на брейнфаке.
Либо на перле, но стереть потом каменты =)

nerezus, у меня один одногруппник хочет написать отладчик для брейнфака =)))
правда я ему уже сказал какой он нарк)

Окей, окей, а что же ты предлагаешь?

В принципе можно вообще навесить кучу полиморфов, три виртуальных машины друг в друге и так далее.. реверсить тоже будет непросто
Great, Вы знаете как это невебанно виснуть будет????
Раск с сотоной(эт который про крякмис Лорда Феникса писал) ща пишут вм, компонент С, морф до и после + вм....

Вы знаете как это невебанно виснуть будет????
http://www.cracklab.ru/f/index.php?action=vthread&forum=1&topic=9338
Качаем тот крякми в качестве примера,как оно будет тормозить...
По-моему нет такой защиты,которую не взломали и нет такого прота,который не сняли.
Самый крутой прот на данный момент времени это StarForce,но его тоже снимают,на втором месте Фемида со антиотладкой через ring0.
три виртуальных машины друг в друге
Любишь рекурсию? :D

З.Ы.:сори за оффтоп

Тоже отпишусь, как вариант можно использовать многопоточную защиту. Большинство отладчиков отлаживают каждый поток по отдельности. Например ситуация, когда пользователь вводит свой пароль, второй поток обрабатывает буфер, который содержит его имя пользователя и меняет регистр или производит еще какие действия. При пошаговой трассировке одного потока, остальные выполняются свободно от него и могут свободно работать с отлаживыемым потоком(модифицировать его код).

Ni0x, ты про наномиты??? Дебуг блокер... или несовсем....
ну например последний спин или арма

проблема в том, что самому это реализовывать лень, а про навесные проты hell сказал..