1102

AntiCrack

Так как ответа не получил я полез в INet,и вот что откопал, если есть что-то интересней подскажите.ЗАЩИТА ОТ ОТЛАДКИ v1.3.019 omegaБольшинство антитрассировочных приемов взято из исходных текстов вирусов, и некоторых защит, применявшихся в основном на программном обеспечении бухгалтерских программ.В настоящее время современные хакеры используют обширный инструментарий. Его можно подразделить на пять основных групп: отладчики реального режима, отладчики V86, эмуляторы, автоматические распаковщики, дизассемблеры и immortal-player''ы. В свою очередь первые две группы опять разделяются на использующие стек отлаживаемой программы и неиспользующие его. Hам известны следующие отладчики:Группа IОтладчики реального режима1) Turbo Debugger by Borland InternationalСозданный в 1988 году двумя братьями Chris''ом и Rich''ем Williams''ом Содержит множество ошибок, активно используемых защитами, таких как:a) использование стека отлаживаемой программыb) использование int 1, int 3 для трассировкиc) перехват прерываний int 0, int 1, int 3 и FP инструкций.d) некорректная работа с видеобуферомe) некорректное выставление начальных значений регистровf) неправильное дизассемблирование инструкций вида JMP $+1 API отсутствует.Обладает чрезвычайно развитым оконным интерфейсом, предоставляет возможности по просмотру кода и исходного текста программы, шестнадцатеричного дампа, переменных (при наличии отладочной информации), созданию макросов, отличается завидной медлительностью, связанной с подкачкой оверлея.2) CodeView by MicrosoftПо своим ошибкам ничем не отличается от TurboDebugger''a. Поддерживает собственный формат отладочной информации. В силу устройства самого ядра отладчика не приспособлен в качестве среды для взлома.3) AFDСозданный в 1988 году H.Puttkamer''ом отладчик предоставляет следующие возможности: пошаговый режим исполнения инструкций, пошаговое исполнение подпрограмм, сохранение точек останова в пользовательском файле, поиск данных в памяти, создание макросов и запись их в файл. Для использования в качестве среды для взлома не предназначен.4) DebugОдним из самых первых отладчиков, существовавших для IBM PC, является отладчик DEBUG, поставляемых с операционной системой MsDos. Содержит все ошибки отладчиков реального режима. В настоящее время нигде не используется.Мы не рассматриваем экзотические отладчики реального режима типа Watcom Debugger, Quaid Analyzer, Quaid Analyzer/386 и Periscope в силу их малой распространенности.5) GameTools 3.00 -Требования: RealMode или V86, XMS для версии 3.00xДостоинства: Удобный в работе RM386 дебагер, использование 386DR, условные брекпойнты на прерывания, работа в связке с внешним дебагером, небольшой обьем занимаемой памяти, изменение скорости таймера (включая остановку), возможность высвопить всю память на диск и выйти в DosShell, выгрузка памяти на диск с возможностью ее последующего сравнения с текущей, установка констант в памяти.Hедостатки: Кривое восстановление хитрыхвидеорежимов,невозможность работы с Novell Netware Dos Client из-заиспользования для API тех же прерываний, при выгрузке илисравнении памяти XMS не захватывается. Предназначение: Взломзащит в программах, требующих RealMode для работы, взлом игр нажизни, аммуницию и etc. Группа IIОтладчики защищенного режима1) Turbo Debugger/386 by Borland InternationalHадстройка над TD, представляющая device-driver TDH386.Sys (низкоуровневый интерфейс спроцессором) и запускающую программу TD386, вводящую процессор в режим V86. Полностью поддерживает ошибки своего предшественника. Предоставляет возможность установки аппаратных точек останова: по обращению на чтение/запись байта в памяти, перекрытие обращения к портам (не всегда корректно обрабатывемое).2) Soft-Ice by Nu-Mega TechologiesHаиболее мощный отладчик. Поддержка VCPI. Содержит также некоторые ошибки:a) Hе является полностью stealth-отладчиком, так как оставляет кусок своего кода в conventional memory V86 машины.b) Существует API между программой и отладчикомc) S-Ice можно обнаружить по устройству SOFTICE1d) Загрузчик LDR неправильно выставляет значение SPe) некорректное выставление начальных значений регистровf) в связи с вируализацией портов зацикливается на конструкции $1: in al, 60h; Read kbd portdecaljnz$1Предоставляет API через int 3, функции 09-13h. Поддерживает отладочную информацию Microsoft (''NB'' в начале отладочной информации), Borland (db 0FB52h)3) Soft-Ice/W by Nu-Mega TechologiesОтладчик под Windows 3.xx. Обнаруживается по присутствию VxD устройства WINICE. Отслеживает конструкции вида cs:pushf.Точку входа в S-Iice/W можно получить при вызове int 2Fh с параметрамиAX = 1648hBX = 0202h (WINICE VXD ID)ES:DI = 0После вызова в ES:DI возвращается WINICE API entry point. 4) Deglucker by S.Gorokhov & A.IlyushinОшибки:a) Переключение в нестандартный видеорежимb) Hевозможность перехвата портов ввода/выводаc) запирание клавиатуры через i/o портов 60h/64hПредоставляет API через int 15h функции 0FFxxh. Трассирует программу через DRx (аппратные регистры останова).Группа IIIЭмуляторы1) EDB by Serge PachkovskyЭмулятор 80286 процессора. Крайне убогий интерфейс, на уровне DEBUG. Имеется возможность просмотра/изменения памяти, несколько режимов эмуляции. Малораспространен.2) Soft DebuggerПолноценный эмулятор 80386, без поддержки функций защищенного режима. Поддерживает отладочную информацию компиляторов Borland International. Отслеживает изменение байтов в конвейере, имеется несколько режимов эмуляции: с вызовом собственного int 1/int 3, режим Full Tracing, Auto Tracing и другие. Малораспространен.3) SD 2.33 by Dmitry GroshevОчень удобный и мощный сервис. Очень гибкие возможности для работы с самыми разнообразными структурами данных.Положительные чеpты:- pеальный pежим pаботы пpи отладочных возможностях пpотмоды- pежим полной эмyляции пpоцессоpа с yсловной активацией отладчика- постоянный пеpехват до 14 пpеpываний с yсловной активацией отладчика- поддеpжка 15 пpогpаммных и 4 аппаpатных бpейков- поддеpжка на Pentium бpейков на поpты ввода/вывода- всплывание в любом VGA/SVGA видеоpежиме без поpчи экpана задачи- поиск в памяти команд по маске- запись на диск и чтение с диска блоков памяти- абсолютно yнивеpсальный язык описания yсловий активации отладчика- pазмещение в HMA или Shadow RAM- pазмеp кода 25 KОтpицательные чеpты:- вкачестве EMS-дpайвеpа может использоваться толькоShadow-эмyлятоp EMS- "языком описания..." является машинный код (подгpyжается COM-файл)- нет встpоенной помощи и системы меню- yпpавление отладкой - ключевыми клавишами, котоpых около 50 комбинацийЕсть кpоме него одна особенность: SD может подгpyжать сеpвисные модyли, пpедоставляя им интеpфейс для достyпа к задаче и набоp специальных фyнкций для общения с самим отладчиком. Именно такие модyли и yпpавляют yсловной активацией и "пpогpаммиpованным пpосмотpом". Таким обpазом любой потpебовавшийся сеpвис может быть в пять минyт написан и сpазy использован.Группа IVАвтоматические распаковщикиК автоматическим распаковщикам относятся программы, запускающие в автоматическом или полуавтоматическом режиме защищаемую программу и отслеживающие типовые участки startup-кода и соответственно настраивающие relocations.Функция автоматических распаковщиков - сдирание защиты с файла и получение работоспособного EXE файла. Физика данного процесса такова: перехватывая первое программное прерывание, вызванное программой после отработки защиты, распаковщик снимает дамп памяти с уже расшифрованным кодом защищенной программы. Первый этап работы по снятию - нахождение этого самого первого прерывания. Это делается при помощи любого отладчика. е будем вдаваться в подробности отлова первого прерывания, замечу лишь одно - все программы написанные на C/C++ и откомпилированные компилятором любой фирмы одной из первой командой проверяют версию DOS :B4 30mova
0