|
| Посл.отвђт | Сообщенiе |
|
|
Дата: Сен 11, 2003 17:46:23 Защищена аспротектом Посмотрите, вроде никаких вызовов _lopen... http://www.softportal.com/download/item.php?id=1088&lang=ru |
|
|
Дата: Сен 11, 2003 17:47:41 Скоро на этом сайте появится статья seeQ - там и посмотришь. |
|
|
Дата: Сен 11, 2003 18:05:10 А если вкратце? |
|
|
Дата: Сен 11, 2003 19:57:48 · Поправил: KiNDeR Beginner Найди себе FrogsIce и не мучайся, там исходник есть, и несколько примеров обнаружения сайса. |
|
|
Дата: Сен 11, 2003 19:59:42 KiNDeR Найди ForgIce... Хамишь, парниша :) На васме он тоже есть. Хрен знает когда положил. Свой сайт раскручиваешь? Правильно! Только и наш можно упомянуть. Скромненько так, где-то сбоку :)) |
|
|
Дата: Сен 11, 2003 20:02:47 volodya боже избавь, уже все убра... |
|
|
Дата: Сен 11, 2003 20:10:49 KiNDeR НЕТ. Оставь! Как там - wasm.narod.ru. Твой труд тоже лежит возле твоего сердца. Только что эту историю прочитал. Она не только к гребаному программированию применима... |
|
|
Дата: Сен 11, 2003 20:17:38 volodya Спасибочки, но кому надо тот и так найдет мою страничку :) |
|
|
Дата: Сен 11, 2003 21:35:56 · Поправил: Asterix Да, кажись и icedump должЁн работать.. |
|
|
Дата: Сен 13, 2003 21:15:45 · Поправил: Beginner А статейку-то по эту защиту от отладки я нашёл здесь http://xtin.km.ru/view.shtml?id=125 (Володя, мог бы и ссылку дать, знал же?) |
|
|
Дата: Сен 13, 2003 21:38:04 Насчёт FrogICE. Может быть он как то и прячет SoftICE, но программа всё равно отказывается работать, такая сякая! (без SoftICE работает) Сообщение "Дебугер детектед" не появляется, зато программа как-то умудряется "выполнить недопустимую операцию" и НЕ запустится! Это если запущен FrogICE. Но даже если не запускать последний и сделать всё вручную поменять значение байта cmp byte ptr [адрес], 0 ;Нужно ли проверять наличие SICE? jz НЕ_НУЖНО НУЖНО: .................... то происходит тоже самое! Защита как то выкручивается, хотя "официально" SoftICE не обнаруживает. Поможите? |
|
|
Дата: Сен 13, 2003 21:48:59 · Поправил: KiNDeR Beginner Шас посмотрим |
|
|
Дата: Сен 25, 2003 02:10:46 Кстати frogice можно отследить в памяти, и прекратить работу программы... ;--- START FROGICE DETECTION BLOCK pushad mov esi, @fice2 mov edi, esp sub edi, 20h std mov ecx, @fice2-@fice1+1 rep movsb ; load @fice2-@fice1 fragments into stack cld inc edi mov edx, edi ; save proc addr in edx push edi ; get address of IDT sidt [esp-2] pop edi mov ebx, ExitProcess call edx ; call previously loaded fragments jmp @fice3 ; further code will be hided @fice1: ; any code here add edi, 8*03h ; address of descriptor INT 03h cmp dword ptr[edi], 00281370h je short @fice2 ; если там не виндовский обработчик значит ловушка push 0 call ebx ; тогда выход! @fice2: retn @fice3: popad ;--- END FROGICE DETECTION BLOCK Во всяком случае замороженная жаба уже не сильно помагает айсу |
|
|
Дата: Сен 25, 2003 07:57:20 Beginner Аспр сейчас проверяет целкость кода, так что когда делаешь cmp byte ptr [адрес], 0 ;Нужно ли проверять наличие SICE? jz НЕ_НУЖНО НУЖНО: .................... то после прыжка верни на свое место все как есть (как будто код и не менялся в памяти) и аспр так и подумает, что он еще целка:))) |
|
|
Дата: Сен 25, 2003 07:59:57 Защита как то выкручивается, хотя "официально" SoftICE не обнаруживает Просто аспр после этого "почему-то" в системную область лезет и ему мастдай "почему-то" за это по яйцам дает:)) |