[HaBo]

+++ATH0 · 14.01.11, 17:23

Zitat:

speziell nach "Anti-Anti-Debug", z.B Phant0m, OllyAdvanced (patcht zudem einige Bugs), Olly Invisible, "Hide Debugger" usw. Ich empfehle erstmal entweder Phant0m oder Advanced.

Wer diesbezüglich was aktuelles haben möchte, was auch gegen neuste Protektoren gefeit ist, sollte sich mal nach "StrongOD" umschauen.

fox(fux) · 14.01.11, 19:15

Hallo,
Habe (wieder einmal ^^) ein Problem:
Wenn ich a.exe in OllyDBG (1.10 oder 2.1a) lade, und F9 drücke, dann läuft alles normal. Aber sobald ich steppe ( F7/F8 ) oder einen Breakpoint gesetzt habe, wird vor der eigentlichen Form der a.exe eine Fehlermeldung ausgegeben: "Entfernen Sie alle Viren und installieren Sie das Programm neu". (So in der Art). Habe ich aber eben keinen Brakepoint und steppe auch nicht, dann komme ich ohne diese Meldung auf die Form.
Ist dies auch ein Anti-Debug-Trick?

fox(fux)

**CDW** · 14.01.11, 20:15

Wenn es die Exe selbst ausgibt und die Meldung beim Nichtdebuggen eben nicht erscheint, bleiben nicht viele Optionen übrig

Wie gesagt, scanne das Teil mit PEID, damit Du den Protector herausfindest.

Ansonsten wäre diese Erkennungsart folgendermaßen umsetzbar:
im Programm wird ein Extrathread gestartet, der regelmäßig den Abstand zwischen zwei Zeitständen bestimmt.
z.B

Code:

time1 = gettime_ms()
blub
noch mehr Code
time2 = gettime_ms()
if (time2 - time1) > 2000 then:
    debugger-detected!

(alternativ kann statt einer Timefunktion direkt RDTSC benutzt werden bzw. kein Thread, sondern die Zeitmessungen direkt im Hauptcode stehen - aber das sind nur Implementierungsdetails)

Denn sobald man einen Breakpoint setzt, bei dem Olly dann pausiert geschweige denn durch das Programm stept, werden alle Threads eingefroren und vom Programmcode nichts mehr ausgeführt.
So kann man davon ausgehen, wenn der Zeitabstand zu groß wird, dass das Programm in der Zeit nicht lief - ergo debuggt wurde.

fox(fux) · 15.01.11, 14:13

Danke für deine Hilfe.
GetSystemTimeAsFileName (oder so ähnlich) war es. ^^
Jetzt funktionierts auch mit dem Debuggen.
Aber:
Nächstes Problem:
Im Programm ruft sich das Programm selbst noch einmal auf. Die 1. Instanz wird dann geschlossen. Wie kann ich diese 2. Instanz weiter-debuggen??

//EDiT: Ok mein Anti-Debug-Patch hat dazu geführt, dass sich das Programm noch einmal startet.
Der Fehler liegt an mir.

Somit ist das Problem mit der 2. Instanz gelöst!

mfg fox(fux)

Anzeige

- Anzeige -

14.01.11, 20:15	#18 (permalink)
CDW Moderator Themenstarter Registriert seit: 20.07.05 Likes: 202	Wenn es die Exe selbst ausgibt und die Meldung beim Nichtdebuggen eben nicht erscheint, bleiben nicht viele Optionen übrig Wie gesagt, scanne das Teil mit PEID, damit Du den Protector herausfindest. Ansonsten wäre diese Erkennungsart folgendermaßen umsetzbar: im Programm wird ein Extrathread gestartet, der regelmäßig den Abstand zwischen zwei Zeitständen bestimmt. z.B Code: time1 = gettime_ms() blub noch mehr Code time2 = gettime_ms() if (time2 - time1) > 2000 then: debugger-detected! (alternativ kann statt einer Timefunktion direkt RDTSC benutzt werden bzw. kein Thread, sondern die Zeitmessungen direkt im Hauptcode stehen - aber das sind nur Implementierungsdetails) Denn sobald man einen Breakpoint setzt, bei dem Olly dann pausiert geschweige denn durch das Programm stept, werden alle Threads eingefroren und vom Programmcode nichts mehr ausgeführt. So kann man davon ausgehen, wenn der Zeitabstand zu groß wird, dass das Programm in der Zeit nicht lief - ergo debuggt wurde. __________________ Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf! Selig, wer nichts zu sagen hat und trotzdem schweigt.

15.01.11, 14:13	#19 (permalink)
fox(fux) Registriert seit: 08.12.09 Likes: 0	Problem ;) Danke für deine Hilfe. GetSystemTimeAsFileName (oder so ähnlich) war es. ^^ Jetzt funktionierts auch mit dem Debuggen. Aber: Nächstes Problem: Im Programm ruft sich das Programm selbst noch einmal auf. Die 1. Instanz wird dann geschlossen. Wie kann ich diese 2. Instanz weiter-debuggen?? //EDiT: Ok mein Anti-Debug-Patch hat dazu geführt, dass sich das Programm noch einmal startet. Der Fehler liegt an mir. Somit ist das Problem mit der 2. Instanz gelöst! mfg fox(fux) Geändert von fox(fux) (18.01.11 um 12:59 Uhr) Grund: Mein Fehler ^^

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Anfängerfragen zu OllyDbg	Chrisimo	Hacks & Crackmes	10	13.10.06 10:44
Anfängerfragen	titania	Mac OS & Co.	2	26.07.06 12:37
Anfängerfragen zu Linux	jerry006	Linux/UNIX	1	26.06.06 20:12
Wie löst man crackMes?	Berserker	Hacks & Crackmes	5	16.03.06 20:38
Einige Anfängerfragen	SuperSkater	Cryptography & Encryption	5	23.06.04 16:46

14.01.11, 19:15	#17 (permalink)
fox(fux) Registriert seit: 08.12.09 Likes: 0	Hallo, Habe (wieder einmal ^^) ein Problem: Wenn ich a.exe in OllyDBG (1.10 oder 2.1a) lade, und F9 drücke, dann läuft alles normal. Aber sobald ich steppe ( F7/F8 ) oder einen Breakpoint gesetzt habe, wird vor der eigentlichen Form der a.exe eine Fehlermeldung ausgegeben: "Entfernen Sie alle Viren und installieren Sie das Programm neu". (So in der Art). Habe ich aber eben keinen Brakepoint und steppe auch nicht, dann komme ich ohne diese Meldung auf die Form. Ist dies auch ein Anti-Debug-Trick? fox(fux)

[HaBo]

Sammelthread: Anfängerfragen zu Crackmes