Элементы антиотладки и антиэвристики [Help]
 

Было бы интересно выслушать Ваши наработки по антиотладочным и антиэвристическим кодывым-вставках... (Гугл + wasm + cracklab тоже просматриваю :)) С чем можно в файле поиграть, типо расшифровки в отдельной декрипт-процедуре данных или части кода или что-то вставить, типо SEH подмены...

тебе нужна консультация по заите софта что ли?
Почитай туторы по снятию определенных протов,там много чего найдешь касательно антиотладки.
Про эвристику вроде все на wasm.ru расписано...можно и самому нафантазировать,было бы желание и умение.
Почитай "Ассемблер и дизассемблирование" Пирогова. в одной из глав он описывает методы запутывания

Пусть сам попрактикуется...

Советую RLPack (последний)... Там основные антиотладочные средства + отслеживание отладчика по запущеным плугам, таких как OllyAdvanced. Самое забавное, что Апокс выложил все это на своем сайте http://ap0x.jezgra.net/protection.html. Одной рукой проты пишет, другой крякает =))))

Если хочешь поизучать обфускацию, пореверсь PESpin... Давольно занятно... Про запутывание дизассемблеров и обфускацию давольно интересно расписанно в книге Reversing Secrets of Reverse Engineering

Журнальчики с http://arteam.accessroot.com/ читай!!!

ТС,если пишешь большой проект и надо его защитить реверсь фемиду (=
Хотя в каждом проте есть свои плюсы и недостатки.

брать чужое - нет смысла, т.к. почти на всю антиотладку есть хайды)))
антиэмуль, дык - берёшь мануал по асму и какую нибудь команду поизвращённее,
и результат её выполняния юзуется в качестве частей ключа (серийника, и т.д.)

а вообще берёшь отладчик и смотришь, что можно придумать)))
да и багов они не лишины)))

SEH не в моде. Та же олька позволяет нормально трасировать обработчик сеха.
Отслеживание процесса/окна отладчика - само собой.
Вполне типичная подъ..пка - TlsCallback.
В сумме со этим можно применять контроль целостности кода, классы с виртуальными функциями, полиморф/метаморф, виртуальную машину.

ЗЫ. На васме была интересная тема со спаливанием ольки через rdtsc при обращении к заведомо неинициализированной странице кода или данных.

ЗЫЫ. Некоторые плагины ольки ставят дрова (extremehide.sys) - можно спалить.

ага)))))))))))

Ставить драйвер и мутить что-то уже там.. внизу, передавая данные в приложение.
Шифровать код, причем так чтобы в любой момент времени расшифрован был только один участок... Проверять целостность кода, причем рендомно и везде и из любых мест... Навестить второй процесс, скрыть и защитить его драйвером, этот процесс будет мониторить целевой, что-нибудь проверять... Грит конечно скажет, что всё это ***ня, но тогда вообще все приемы - ***ня. Поэтому давайте будем рассматривать это как возможный прием антиотладки а не идеальный. Вообще давно уже этим не заморачивался.

не выход вообще)) перекомпилить и поправить пара минут...

надо искать не стандартные подходы :)

а стандартные есть тут
hxxp://hellspawn.nm.ru/works/EDD.0.44.zip
и в xADT 1.2 :)

KEZ как вариант всё можно, но есть масса тонкостей..
антивири) фаеры) которые так просто не дадут
ничё сделать :) в итоге:
дроф для защиты приложения - это крайняя мера и по-моему
вообще безперспективная...

Да есть над чем подумать ;)
Всем спасибо кто откликнулся, получил много полезных идей и ссылок...

Ну ясен хрен что не выход)

KEZ, ты мне все это уже рассказывал, когда мы шли в обменник )
В принципе можно вообще навесить кучу полиморфов, три виртуальных машины друг в друге и так далее.. реверсить тоже будет непросто[QUOTE]