الفريق العربي للهندسة العكسية

جربت نزل لعبة نسخة اصلية بدون كراك لكي اجاول ان اقوم بكسرها
حمايتها من نوع: 
SafeDisc 2.80.010 -> Macrovision [Overlay]
 عندما حملتها في OllyDbg كانت جميع الدوال سليمة
هل هذا يعني انه ليست محمية وانما مضغوطة  packer ؟
بعد ان حملتها OllyDbg جربت اشغلها ولكن حدث  Terminater
بعدها وضعت نقطة توقف على دالة ْIsDebuggerPresentt وبعد توقف البرنامج عندها جعلته يقفز للمكان الذي لم يكن سيقفز عليه
ولكن ايضا حدث Terminater
باستدعاء اللعبة دالة من مكتبة ntdll.dll من مكتبة user32.dll يعني يمكن القول ان اللعبة تستدعي دالة من مكتبة User32.dll  والتي يتم الاستدعاء من هناك  دالة من مكتبة ntdll.dll لتقوم بانهاء المعالجة
ما السبب ؟ هل يمكن ان يكون هنالك دالة اخرى لفحص ان كان هنالك منقح غير IsDebuggerPresent ؟
مع العلم اللعبة قديمة من 2002 يعني ربما حمايتها اقدم
وجربت ابحث رايت هنالك اضافة IsDebuggerPresent plugin for OllyDbg ماذا تعمل هذه الاضافة , هل تعطل دالة IsDebugerPresent تلقائيا؟

دعك من olly وانصحك ب x64dbg لانه اولا حديث وقيد التظوير ويدعم 32 و 64 , تانيا لان له اضافات تدعم اغلب الحمايات الحديثة بلا مشاكل  مثل sharpod و scylla hide , شي اخر ايقاف اللعبة يمكن ان يكون نتجية خطاء من المنقح او اعدادات خاطئة او حماية كما قلت 
و جرب ان تشغل اللعبة وتعمل attach ربما ينجح الامر بدل تشغيلها من المنقح

حسب جوابك !
1>> حاول تعلم اساسيات  assembly language
2>> بعدها تابع هذا الموضوع   
https://www.at4re.net/f/thread-1636.html

(13-09-2020, 05:41 PM)Cyros كتب : [ -> ]هل يمكن ان يكون هنالك دالة اخرى لفحص ان كان هنالك منقح غير IsDebuggerPresent ؟

دالة CheckRemoteDebuggerPresent

السلام عليكم
هنالك Crackme جربت ان افحصه ب RDG فظهر انه يحتوي  IsDebuggerPresent
بحثت عن المنطقة التي يستدعي بها البرنامج هذه الدالة وقمت بكتابة
XOR EAX,EAX لكي لا يقفز  ( يعني استبدلت CALL IsDebuggerPresent  ب XOR EAX,EAX  لان بعدها تعليمة TEST EAX,EAX ) عند العنوان 708D17BD
ثم قمت بحفظ التعديلات بملف تنفيذي باسم Crackme2
Copy to executable > All modifiction >Copy all > save file
ثم جربت افحصه ان لا تزال IsDebuggerPresent عبر فحصه ب RDG Packer detector ولكن بقيت !
ثم حملت  Crackme2 في Ollydbg و
ctrl+G (IsDebuggerPresent)
ووضعت توقف على ما تطلب دالة IsDebuggerPresent من تعليمات فيمكتبة kernelbase.dll يعني تعليمات

INT3
MOV EAX,DWORD PTR FS:[0x30]
MOVZX EAX,BYTE PTR DS:[EAX+0x2]
RETN

ورايت دالة GetSystemMetrics تتحقق من وجود منقح عير طلبها نفس التعليمات التي تطلبها IsDebuggerPresent بعدها ايضا تعليمة TEST EAX,EAX ثم قفزة تحقق وعملت لها مثلما عملت للدالة الاولى ثم حفظت الملف باسم 3 ثم فحصته ب RDG ورابت مازال يعطي IsDebuggerPResent ثم حملت 3 بالمنقح ورابت ايضا هنالك دالة بنفس الاسم  GetSystemMetrics تتحقق ثم جربت ان اعمل لها نفس الشيئ للدالة الاولى فظهرت دالة GetSystemMetric
جربت ابحث يوجد شيئ رابت شيئ اسمه Anti-debugging ارجو من لديه خبرة ان يشرح عنه
ولاحظت الكثير من البرامج المعروفة التي نستخدمها التي فيها تسجيل ودفع ك  WinRAR , Internet Download Manger ليست محمية وانما عندما فحصها ب RDG  يعطي انها IsDebuggerPresent هل هذا  يعني انها تحتوي خوارزمية كشف المنقح ؟
ايضا هذه ال Crackme ثقيلة بالنسبة بالنسبة ل crackmes بحجم 3.9MB هل هذا بسبب هذه الخوارزمية ؟

ارجو من لديه خبرة يفيد باجابته
هذا رابط  ال Crackme :
https://gofile.io/d/9x7Ay0

أنصحك أن لا تتعب نفسك في مخاوله تخطي IsDebuggerPresent
فهناك العديد من الأضافات التي تقوم بالعملية نيابة عنك
ما عليك الا التركيز على الأهم و هو محاولة كسر السيريال او الحماية الرئيسية للبرنامج
استعمل Ollydbg  المنزل هنا للأخ MIXOR و سيغنيك عن البحث .

(29-09-2020, 04:30 PM)samoray كتب : [ -> ]نصحك أن لا تتعب نفسك في مخاوله تخطي IsDebuggerPresent
فهناك العديد من الأضافات التي تقوم بالعملية نيابة عنك
ما عليك الا التركيز على الأهم و هو محاولة كسر السيريال او الحماية الرئيسية للبرنامج
استعمل Ollydbg  المنزل هنا للأخ MIXOR و سيغنيك عن البحث .

نعم اعرف ولكن لدي فضول في معرفة عن anti-debug  معلومات سطحية طالما هذه ال Crackme مستوى 1  وتحتوي مثل هكذا اشياء

(29-09-2020, 05:40 PM)Cyros كتب : [ -> ]نعم اعرف ولكن لدي فضول في معرفة عن anti-debug  معلومات سطحية طالما هذه ال Crackme مستوى 1  وتحتوي مثل هكذا اشياء

اذا كان عندك اافضول ابحث عنها في جدول الدوال المستوردة واعمل نقاط توقف علي الاماكن التي تستعملها

في دورة azma لي هي من تأليف ريكاردو
قد شرح الدالة السابقة IsDebuggerPresont يا ريت تطلع عليها لتكتسب بعض من الخبرة في التعامل معها

هنالك ايضا مقال وجدته Anti-Unpacker tricks يشرح الطرق المتبعة لاكتشاف المنقح وكيفية تفاديها وايضا عن Anti-dump