Перейти к содержанию

Очистка отладочных регистров и как с ней бороться


Рекомендуемые сообщения

Привет, товарищи. 

 

На днях столкнулся с проблемой. Проблема заключается в том, что когда я ставлю брекпоинт на любой адрес игры, 

и происходят изменения значения адреса, брекпоинт просто не срабатывает. СЕ просто не видит никаких действий.

Перепробовал все возможные настройки разных отладчиков, не работает отладчик даже в режиме ядра.

Такое чувство, что что-то просто затирает бряк или просто отключает отладчик.

 

Вот это я находил в исходнике трейнера, который когда то видел на этом форуме:

Как работает этот код, я не знаю, хотел бы поинтересоваться у вас, возможно он чистит отладочные регитры, но он делает тоже самое: При его исполнении не будут срабатывать бряки, которые мы ставим. Причем код должен выполняться постоянно, чтоб исключить срабатывания брекпоинта.

 

Я предполагаю, что и в игре осуществляется что-то подобное.

Так вот: что делает этот код? что можно предпринять для того, чтоб заставить отладчик работать? как можно подобный код найти в игре?

procedure AntiDebug_DR_Handler; assembler;asm  mov ecx, [esp+0Ch]  add dword ptr [ecx+0B8h], 2  mov dword ptr [ecx+04h], 0  mov dword ptr [ecx+08h], 0  mov dword ptr [ecx+0Ch], 0  mov dword ptr [ecx+10h], 0  mov dword ptr [ecx+14h], 0  mov dword ptr [ecx+18h], 0  xor eax, eax  retend;procedure AntiDebug;  asm  push offset AntiDebug_DR_Handler  push dword ptr fs:[0]  mov fs:[0],esp  xor eax, eax  div eax  pop fs:[0]  add esp, 4  end;end; 
Изменено пользователем Vlad2
  • Плюс 1
Ссылка на комментарий
Поделиться на другие сайты

the crew. Да это не мега протектор. Этот прием достаточно прост, я сам его реализовать могу. Проблема в нахождении куска кода в процессе, который чистит регистры.


Кто захочет попробовать обойти защиту - пишите в лс, дам логин и пароль от утечки.

Ссылка на комментарий
Поделиться на другие сайты

там vmprotect х64 +самописные фичи вроде телеметрии. его сначала надо снять, потом пошерстить на самописную защиту... иначе большой шанс на "тихий детект" и бан ака.

Ссылка на комментарий
Поделиться на другие сайты

Бан это не проблема) пусть хоть 10 раз бан)

забанит юзеров "тренера" через Х времени..

 

главное разобраться, как в таких ситуациях действовать, как находить подобного рода защиты)

1 отломать протектор, сделать 100% анализ, написать крутой хак

2 сделать на костылях.. например как в варфейс. там ведь тоже был какой то протектор. стартрахфорс вроде. недавно была новость что 1млн юзеров забанили, эпично :D

 

для дебага надо начать с x64_dbg + scyllahide

Ссылка на комментарий
Поделиться на другие сайты

×
×
  • Создать...

Важная информация

Находясь на нашем сайте, Вы автоматически соглашаетесь соблюдать наши Условия использования.