Debugger Schutz

[maluc]

Code:

CPU Disasm Address Hex dump Command Comments 004B32D7 . 64:8B05 18000000 MOV EAX,DWORD PTR FS:[18] ; get TEB pointer 004B32DE . 8B40 30 MOV EAX,DWORD PTR DS:[EAX+30] ; get PEB pointer 004B32E1 . 0FB640 02 MOVZX EAX,BYTE PTR DS:[EAX+2] ; get peb.BeingDebugged boolean

---

Im Prinzip machst du das gleiche wie IsDebuggerPresent.
Mein patch 0x4B32E1 33C09090 = xor eax,eax + 2*nop.

[iNvIcTUs oRCuS]

Ich muss ganz ehrlich sagen... Ich bin jetz nicht mehr ganz auf dem laufenden was dieses Programm/Progrämmchen angeht, aber im Prinzip hast Du Recht. Funktioniert ähnlich wie IsDebuggerPresent.

Zu Deiner Erklärung brauch ich auch nichts weiter hinzufügen. Zuletzt wird halt das PEPBeingDebugged Flag gecheckt. Ist dieses 0 wird die Anwendung nicht debugged oder dahingehend manipuliert. Bei dem Wert 1 wird sie offensichtlich debugged.

[Acubra]

Hey,
wen es interessiert hier noch ein paar Olly detection tricks mit MASM Sourcecode.

Folgende Methoden sind in dem Archiv enthalten:
-FindWindow
-NtQueryInformationProcess
-Single Step
-ProcessID

[iNvIcTUs oRCuS]

Und allesamt nahezu wirkungslos ;-)

[Acubra]

(20.07.2011, 23:27)sILeNt heLLsCrEAm schrieb: Und allesamt nahezu wirkungslos ;-)

Hey,
Noobabschreckung pur :>

[iNvIcTUs oRCuS]

[l0wb1t]

Ich find debug protections solange ok, solange sie auf dem Trainer selber bleiben, geht es jedoch dann in die .exe über( wie bei manchen Cracks von 3Dm-Game, da hört der spaß auf.

Ich meine so ziemlich keine warez scene tut sowas, und es is einfach nur nerfig.

[iNvIcTUs oRCuS]

Das könnte aber theoretisch auch an der Original EXE liegen.

Die Crackergruppen entfernen auch nur den Kopierschutz damit man das Programm/Spiel auch ohne Original Medium daddeln kann. Die Debugger Routine kann also auch in der wiederhergestellten EXE nach wie vor present sein. Ein Debuggerschutz ist ja völlig belanglos bei der Indentifikation eines Speichermediums...