الفريق العربي للهندسة العكسية
سؤال حول حماية لعبة & IsDebuggerPresent - نسخة قابلة للطباعة

+- الفريق العربي للهندسة العكسية (https://www.at4re.net/f)
+-- قسم : منتديات الهندسة العكسية - Reverse Engineering Forums (https://www.at4re.net/f/forum-4.html)
+--- قسم : الأسئلة والإستفسارات، حلول المشاكل و تبادل الخبرات - Expert Exchange Newbie Questions Answers (https://www.at4re.net/f/forum-36.html)
+--- الموضوع : سؤال حول حماية لعبة & IsDebuggerPresent (/thread-2077.html)

الصفحات: 1 2

سؤال حول حماية لعبة & IsDebuggerPresent - Cyros - 13-09-2020

جربت نزل لعبة نسخة اصلية بدون كراك لكي اجاول ان اقوم بكسرها
حمايتها من نوع: 
SafeDisc 2.80.010 -> Macrovision [Overlay]
 عندما حملتها في OllyDbg كانت جميع الدوال سليمة
هل هذا يعني انه ليست محمية وانما مضغوطة  packer ؟
بعد ان حملتها OllyDbg جربت اشغلها ولكن حدث  Terminater
بعدها وضعت نقطة توقف على دالة ْIsDebuggerPresentt وبعد توقف البرنامج عندها جعلته يقفز للمكان الذي لم يكن سيقفز عليه
ولكن ايضا حدث Terminater
باستدعاء اللعبة دالة من مكتبة ntdll.dll من مكتبة user32.dll يعني يمكن القول ان اللعبة تستدعي دالة من مكتبة User32.dll  والتي يتم الاستدعاء من هناك  دالة من مكتبة ntdll.dll لتقوم بانهاء المعالجة
ما السبب ؟ هل يمكن ان يكون هنالك دالة اخرى لفحص ان كان هنالك منقح غير IsDebuggerPresent ؟
مع العلم اللعبة قديمة من 2002 يعني ربما حمايتها اقدم
وجربت ابحث رايت هنالك اضافة IsDebuggerPresent plugin for OllyDbg ماذا تعمل هذه الاضافة , هل تعطل دالة IsDebugerPresent تلقائيا؟

RE: سؤال حول حماية لعبة & IsDebuggerPresent - mohamad - 13-09-2020

دعك من olly وانصحك ب x64dbg لانه اولا حديث وقيد التظوير ويدعم 32 و 64 , تانيا لان له اضافات تدعم اغلب الحمايات الحديثة بلا مشاكل  مثل sharpod و scylla hide , شي اخر ايقاف اللعبة يمكن ان يكون نتجية خطاء من المنقح او اعدادات خاطئة او حماية كما قلت 
و جرب ان تشغل اللعبة وتعمل attach ربما ينجح الامر بدل تشغيلها من المنقح

RE: سؤال حول حماية لعبة & IsDebuggerPresent - smix0024 - 13-09-2020

حسب جوابك !
1>> حاول تعلم اساسيات  assembly language
2>> بعدها تابع هذا الموضوع   
https://www.at4re.net/f/thread-1636.html

RE: سؤال حول حماية لعبة & IsDebuggerPresent - siddigss - 13-09-2020

(13-09-2020, 05:41 PM)Cyros كتب : هل يمكن ان يكون هنالك دالة اخرى لفحص ان كان هنالك منقح غير IsDebuggerPresent ؟

دالة CheckRemoteDebuggerPresent

RE: سؤال حول حماية لعبة & IsDebuggerPresent - Cyros - 29-09-2020

السلام عليكم
هنالك Crackme جربت ان افحصه ب RDG فظهر انه يحتوي  IsDebuggerPresent
بحثت عن المنطقة التي يستدعي بها البرنامج هذه الدالة وقمت بكتابة
XOR EAX,EAX لكي لا يقفز  ( يعني استبدلت CALL IsDebuggerPresent  ب XOR EAX,EAX  لان بعدها تعليمة TEST EAX,EAX ) عند العنوان 708D17BD
ثم قمت بحفظ التعديلات بملف تنفيذي باسم Crackme2
Copy to executable > All modifiction >Copy all > save file
ثم جربت افحصه ان لا تزال IsDebuggerPresent عبر فحصه ب RDG Packer detector ولكن بقيت !
ثم حملت  Crackme2 في Ollydbg و
ctrl+G (IsDebuggerPresent)
ووضعت توقف على ما تطلب دالة IsDebuggerPresent من تعليمات فيمكتبة kernelbase.dll يعني تعليمات

INT3
MOV EAX,DWORD PTR FS:[0x30]
MOVZX EAX,BYTE PTR DS:[EAX+0x2]
RETN
ورايت دالة GetSystemMetrics تتحقق من وجود منقح عير طلبها نفس التعليمات التي تطلبها IsDebuggerPresent بعدها ايضا تعليمة TEST EAX,EAX ثم قفزة تحقق وعملت لها مثلما عملت للدالة الاولى ثم حفظت الملف باسم 3 ثم فحصته ب RDG ورابت مازال يعطي IsDebuggerPResent ثم حملت 3 بالمنقح ورابت ايضا هنالك دالة بنفس الاسم  GetSystemMetrics تتحقق ثم جربت ان اعمل لها نفس الشيئ للدالة الاولى فظهرت دالة GetSystemMetric
جربت ابحث يوجد شيئ رابت شيئ اسمه Anti-debugging ارجو من لديه خبرة ان يشرح عنه
ولاحظت الكثير من البرامج المعروفة التي نستخدمها التي فيها تسجيل ودفع ك  WinRAR , Internet Download Manger ليست محمية وانما عندما فحصها ب RDG  يعطي انها IsDebuggerPresent هل هذا  يعني انها تحتوي خوارزمية كشف المنقح ؟
ايضا هذه ال Crackme ثقيلة بالنسبة بالنسبة ل crackmes بحجم 3.9MB هل هذا بسبب هذه الخوارزمية ؟
[صورة مرفقة: pqWYH5z.png]
ارجو من لديه خبرة يفيد باجابته
هذا رابط  ال Crackme :
https://gofile.io/d/9x7Ay0

RE: سؤال حول حماية لعبة & IsDebuggerPresent - samoray - 29-09-2020

أنصحك أن لا تتعب نفسك في مخاوله تخطي IsDebuggerPresent
فهناك العديد من الأضافات التي تقوم بالعملية نيابة عنك
ما عليك الا التركيز على الأهم و هو محاولة كسر السيريال او الحماية الرئيسية للبرنامج
استعمل Ollydbg  المنزل هنا للأخ MIXOR و سيغنيك عن البحث .

RE: سؤال حول حماية لعبة & IsDebuggerPresent - Cyros - 29-09-2020

(29-09-2020, 04:30 PM)samoray كتب : نصحك أن لا تتعب نفسك في مخاوله تخطي IsDebuggerPresent
فهناك العديد من الأضافات التي تقوم بالعملية نيابة عنك
ما عليك الا التركيز على الأهم و هو محاولة كسر السيريال او الحماية الرئيسية للبرنامج
استعمل Ollydbg  المنزل هنا للأخ MIXOR و سيغنيك عن البحث .

نعم اعرف ولكن لدي فضول في معرفة عن anti-debug  معلومات سطحية طالما هذه ال Crackme مستوى 1  وتحتوي مثل هكذا اشياء

RE: سؤال حول حماية لعبة & IsDebuggerPresent - mohamad - 29-09-2020

(29-09-2020, 05:40 PM)Cyros كتب : نعم اعرف ولكن لدي فضول في معرفة عن anti-debug  معلومات سطحية طالما هذه ال Crackme مستوى 1  وتحتوي مثل هكذا اشياء

اذا كان عندك اافضول ابحث عنها في جدول الدوال المستوردة واعمل نقاط توقف علي الاماكن التي تستعملها

RE: سؤال حول حماية لعبة & IsDebuggerPresent - Polia - 20-01-2021

في دورة azma لي هي من تأليف ريكاردو
قد شرح الدالة السابقة IsDebuggerPresont يا ريت تطلع عليها لتكتسب بعض من الخبرة في التعامل معها

RE: سؤال حول حماية لعبة & IsDebuggerPresent - Cyros - 20-01-2021

هنالك ايضا مقال وجدته Anti-Unpacker tricks يشرح الطرق المتبعة لاكتشاف المنقح وكيفية تفاديها وايضا عن Anti-dump