Vlad2 Опубликовано 24 ноября, 2015 Поделиться Опубликовано 24 ноября, 2015 (изменено) Привет, товарищи. На днях столкнулся с проблемой. Проблема заключается в том, что когда я ставлю брекпоинт на любой адрес игры, и происходят изменения значения адреса, брекпоинт просто не срабатывает. СЕ просто не видит никаких действий.Перепробовал все возможные настройки разных отладчиков, не работает отладчик даже в режиме ядра.Такое чувство, что что-то просто затирает бряк или просто отключает отладчик. Вот это я находил в исходнике трейнера, который когда то видел на этом форуме:Как работает этот код, я не знаю, хотел бы поинтересоваться у вас, возможно он чистит отладочные регитры, но он делает тоже самое: При его исполнении не будут срабатывать бряки, которые мы ставим. Причем код должен выполняться постоянно, чтоб исключить срабатывания брекпоинта. Я предполагаю, что и в игре осуществляется что-то подобное.Так вот: что делает этот код? что можно предпринять для того, чтоб заставить отладчик работать? как можно подобный код найти в игре?procedure AntiDebug_DR_Handler; assembler;asm mov ecx, [esp+0Ch] add dword ptr [ecx+0B8h], 2 mov dword ptr [ecx+04h], 0 mov dword ptr [ecx+08h], 0 mov dword ptr [ecx+0Ch], 0 mov dword ptr [ecx+10h], 0 mov dword ptr [ecx+14h], 0 mov dword ptr [ecx+18h], 0 xor eax, eax retend;procedure AntiDebug; asm push offset AntiDebug_DR_Handler push dword ptr fs:[0] mov fs:[0],esp xor eax, eax div eax pop fs:[0] add esp, 4 end;end; Изменено 24 ноября, 2015 пользователем Vlad2 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
gmz Опубликовано 25 ноября, 2015 Поделиться Опубликовано 25 ноября, 2015 оно "Debug registers manipulation"http://www.symantec.com/connect/articles/windows-anti-debug-referenceчто за игра? может там какой то "мего протектор" Ссылка на комментарий Поделиться на другие сайты Поделиться
Vlad2 Опубликовано 25 ноября, 2015 Автор Поделиться Опубликовано 25 ноября, 2015 the crew. Да это не мега протектор. Этот прием достаточно прост, я сам его реализовать могу. Проблема в нахождении куска кода в процессе, который чистит регистры.Кто захочет попробовать обойти защиту - пишите в лс, дам логин и пароль от утечки. Ссылка на комментарий Поделиться на другие сайты Поделиться
gmz Опубликовано 25 ноября, 2015 Поделиться Опубликовано 25 ноября, 2015 там vmprotect х64 +самописные фичи вроде телеметрии. его сначала надо снять, потом пошерстить на самописную защиту... иначе большой шанс на "тихий детект" и бан ака. Ссылка на комментарий Поделиться на другие сайты Поделиться
Vlad2 Опубликовано 25 ноября, 2015 Автор Поделиться Опубликовано 25 ноября, 2015 Бан это не проблема) пусть хоть 10 раз бан) главное разобраться, как в таких ситуациях действовать, как находить подобного рода защиты) Ссылка на комментарий Поделиться на другие сайты Поделиться
gmz Опубликовано 25 ноября, 2015 Поделиться Опубликовано 25 ноября, 2015 Бан это не проблема) пусть хоть 10 раз бан)забанит юзеров "тренера" через Х времени.. главное разобраться, как в таких ситуациях действовать, как находить подобного рода защиты)1 отломать протектор, сделать 100% анализ, написать крутой хак2 сделать на костылях.. например как в варфейс. там ведь тоже был какой то протектор. стартрахфорс вроде. недавно была новость что 1млн юзеров забанили, эпично для дебага надо начать с x64_dbg + scyllahide Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения