Home of Gamehacking - Archiv
Debugger Schutz - Druckversion

+- Home of Gamehacking - Archiv (http://archiv-homeofgamehacking.de)
+-- Forum: Gamehacking (http://archiv-homeofgamehacking.de/forumdisplay.php?fid=3)
+--- Forum: Projekte (http://archiv-homeofgamehacking.de/forumdisplay.php?fid=31)
+--- Thema: Debugger Schutz (/showthread.php?tid=121)

Seiten: 1 2 3

RE: Debugger Schutz - maluc - 20.07.2011

Code: 
CPU Disasm
Address   Hex dump                       Command                                                             Comments
004B32D7   .  64:8B05 18000000           MOV     EAX,DWORD PTR FS:[18]          ; get TEB pointer
004B32DE   .  8B40 30                    MOV     EAX,DWORD PTR DS:[EAX+30]      ; get PEB pointer
004B32E1   .  0FB640 02                  MOVZX   EAX,BYTE PTR DS:[EAX+2]        ; get peb.BeingDebugged boolean

Im Prinzip machst du das gleiche wie IsDebuggerPresent.
Mein patch 0x4B32E1 33C09090 = xor eax,eax + 2*nop.


RE: Debugger Schutz - iNvIcTUs oRCuS - 20.07.2011

Ich muss ganz ehrlich sagen... Ich bin jetz nicht mehr ganz auf dem laufenden was dieses Programm/Progrämmchen angeht, aber im Prinzip hast Du Recht. Funktioniert ähnlich wie IsDebuggerPresent.

Zu Deiner Erklärung brauch ich auch nichts weiter hinzufügen. Zuletzt wird halt das PEPBeingDebugged Flag gecheckt. Ist dieses 0 wird die Anwendung nicht debugged oder dahingehend manipuliert. Bei dem Wert 1 wird sie offensichtlich debugged.

RE: Debugger Schutz - Acubra - 20.07.2011

Hey,
wen es interessiert hier noch ein paar Olly detection tricks mit MASM Sourcecode.

Folgende Methoden sind in dem Archiv enthalten:
-FindWindow
-NtQueryInformationProcess
-Single Step
-ProcessID

RE: Debugger Schutz - iNvIcTUs oRCuS - 20.07.2011

Und allesamt nahezu wirkungslos ;-)

RE: Debugger Schutz - Acubra - 20.07.2011

(20.07.2011, 23:27)sILeNt heLLsCrEAm schrieb: Und allesamt nahezu wirkungslos ;-)

Hey,
Noobabschreckung pur :>

RE: Debugger Schutz - iNvIcTUs oRCuS - 21.07.2011

HappyHappyHappy

RE: Debugger Schutz - l0wb1t - 25.07.2011

Ich find debug protections solange ok, solange sie auf dem Trainer selber bleiben, geht es jedoch dann in die .exe über( wie bei manchen Cracks von 3Dm-Game, da hört der spaß auf.

Ich meine so ziemlich keine warez scene tut sowas, und es is einfach nur nerfig.

RE: Debugger Schutz - iNvIcTUs oRCuS - 26.07.2011

Das könnte aber theoretisch auch an der Original EXE liegen.

Die Crackergruppen entfernen auch nur den Kopierschutz damit man das Programm/Spiel auch ohne Original Medium daddeln kann. Die Debugger Routine kann also auch in der wiederhergestellten EXE nach wie vor present sein. Ein Debuggerschutz ist ja völlig belanglos bei der Indentifikation eines Speichermediums...