+- الفريق العربي للهندسة العكسية (https://www.at4re.net/f)
+-- قسم : منتديات الهندسة العكسية - Reverse Engineering Forums (https://www.at4re.net/f/forum-4.html)
+--- قسم : الأسئلة والإستفسارات، حلول المشاكل و تبادل الخبرات - Expert Exchange Newbie Questions Answers (https://www.at4re.net/f/forum-36.html)
+--- الموضوع : اشتغال البرنامج قبل debugger (/thread-466.html)
اشتغال البرنامج قبل debugger - zixkhald - 25-12-2018
سلام عليكم
في محاولتي ل كسر برنامج محمي ب دونغل بتلاعب بنتائج test لي يعملها برنامج لتأكد من ان دونغل موجود
صادفت مشكلة غريبة نوعا ما
وهي ان برنامج لما بفتحه بستخدام debugger يشتغل ويعمل test حتى قبل ما ابدى احللوا شي غريب يعني يهرب من single step او شي من هادا قبيل ( الله واعلم شوا هاد عجب )
والله ما بعرف كيف اتجاوز هاده مشكلة ده اول مرة اصادف برامج يهرب من debugger ويعمل شغلوا وبعدين يرجع ل debugger
أسإلتي ك تالي
هل هادا نوع من anti -RE
هل من قتراحات ل تخطي
محاولات لي قمت بها
حوالت اتلاعب ب احد درايفيرات عشان اخفي debugger بس بدون فائدة
وفي محلاوت لتغير ملف على دسك و ضافة cc و jmp ك ديتور بس لم انجح في دالك
وفي اخر
اودات لي جربتها عليه ( منقحات )
كانوا
x64dbg/ida windows debugger
انا اشتغل في بيئة win7 x64
RE: اشتغال البرنامج قبل debugger - x-member - 25-12-2018
السلام عليكم
اعذرني اخي الكريم لانني لم أقرأ الموضوع بالكامل
سأجيبك على العنوان فقط
لماذا يشتغل البرنامج قبل المنقح ؟
ببساطة لانك تحاول تنقيح برنامج مكتوب بالدوت نت ...
برامج الدوت نت لا ينفع معها Olly استعمل Dnspy أو Reflector
نصيحة ثانية : افحص البرنامج و أخبرنا بالنتيجة
تحياتي
RE: اشتغال البرنامج قبل debugger - zixkhald - 25-12-2018
مبرمج ب س++
انا شايك في انه برنامج يتلاعب (هوكين) لل لودر خاص ب منقح والله واعلم اناا حين بحمل برنامج اسموا kernel detective عشان اعرف ادا في شي متل هيك
RE: اشتغال البرنامج قبل debugger - x-member - 25-12-2018
(25-12-2018, 10:57 PM)zixkhald كتب : مبرمج ب س++
انا شايك في انه برنامج يتلاعب (هوكين) لل لودر خاص ب منقح والله واعلم اناا حين بحمل برنامج اسموا kernel detective عشان اعرف ادا في شي متل هيك
غريب , كنت سأطلب منك رفعه لنحاول تنقيحه لكن ليس لدي أدنى خبرة في التعامل مع الدونغل
RE: اشتغال البرنامج قبل debugger - zixkhald - 25-12-2018
قصة انك انني لن احرز اي تقدم ما لم اسبق test مشكلة الله
RE: اشتغال البرنامج قبل debugger - R4NDOM - 29-12-2018
*-حمل أضافة StrongOD و فعل خاصية Break On Tls من ثم جرب.
*-أفتح برنامج "OllyDbg" ثم أضغط Alt-O من ثم أذهب لخانة Exceptions و ألغي جميع الخيارات من ثم جرب.
*-أفتح برنامج "OllyDbg" ثم أضغط Alt-O من ثم أذهب لخانة Events و غير Make first pause at إلى System breakpoint هذا سيجعلك تتوقف قبل أقلاع البرنامج ولاكن لن تكن متوقف في البرنامج نفسه, ستكون متوقف في ntdll من هناك حاول أن تفهم مايحدث.
بتوفيق.
RE: اشتغال البرنامج قبل debugger - zixkhald - 29-12-2018
اخي تجاوزت مشكلة كانت عبارة عن رووت كيت تم تنصيبه( من طرف برنامج لي بحاول اكسره ) و يعمل تلاعب ببعض دوال نضام لهيك امور تلخبطت عندي في اول بس حليتها يا غالي تسلم