قوانين المنتدى | إعلانات هامة | صفحة المبتدئين | كتاب الفريق الأول | كتاب الفريق الثاني | مجلة الفريق | أسطوانتين للمبتدئين | إصدارات الفريق | من نحن ؟ | تبرع للموقع

الفريق العربي للهندسة العكسية منتديات الهندسة العكسية - Reverse Engineering Forums الأسئلة والإستفسارات، حلول المشاكل و تبادل الخبرات - Expert Exchange Newbie Questions Answers v
سؤال حول حماية لعبة & IsDebuggerPresent

تقييم الموضوع :
  • 0 أصوات - بمعدل 0
  • 1
  • 2
  • 3
  • 4
  • 5
ادوات الموضوع
سؤال حول حماية لعبة & IsDebuggerPresent
Cyros غير متصل
.: عضو مثابر :.
**
المشاركات : 78
المواضيع : 17
الإنتساب : Aug 2020
السمعة : 7
الإعجاب المعطى : 146
الإعجاب المحصل : 85
#1
13-09-2020, 05:41 PM (آخر تعديل لهذه المشاركة : 13-09-2020, 06:00 PM بواسطة Cyros.)
جربت نزل لعبة نسخة اصلية بدون كراك لكي اجاول ان اقوم بكسرها
حمايتها من نوع: 
SafeDisc 2.80.010 -> Macrovision [Overlay]
 عندما حملتها في OllyDbg كانت جميع الدوال سليمة
هل هذا يعني انه ليست محمية وانما مضغوطة  packer ؟
بعد ان حملتها OllyDbg جربت اشغلها ولكن حدث  Terminater
بعدها وضعت نقطة توقف على دالة ْIsDebuggerPresentt وبعد توقف البرنامج عندها جعلته يقفز للمكان الذي لم يكن سيقفز عليه
ولكن ايضا حدث Terminater
باستدعاء اللعبة دالة من مكتبة ntdll.dll من مكتبة user32.dll يعني يمكن القول ان اللعبة تستدعي دالة من مكتبة User32.dll  والتي يتم الاستدعاء من هناك  دالة من مكتبة ntdll.dll لتقوم بانهاء المعالجة
ما السبب ؟ هل يمكن ان يكون هنالك دالة اخرى لفحص ان كان هنالك منقح غير IsDebuggerPresent ؟
مع العلم اللعبة قديمة من 2002 يعني ربما حمايتها اقدم
وجربت ابحث رايت هنالك اضافة IsDebuggerPresent plugin for OllyDbg ماذا تعمل هذه الاضافة , هل تعطل دالة IsDebugerPresent تلقائيا؟
( وَفِىٓ أَنفُسِكُمْ ۚ أَفَلَا تُبْصِرُونَ )
البحث
أعضاء أعجبوا بهذه المشاركة :
mohamad غير متصل
.: مجرب إصدارات AT4RE :.
*****
AT4RE Releases Tester
المشاركات : 559
المواضيع : 25
الإنتساب : Nov 2018
السمعة : 7
الإعجاب المعطى : 513
الإعجاب المحصل : 497
#2
13-09-2020, 07:55 PM (آخر تعديل لهذه المشاركة : 14-09-2020, 07:25 AM بواسطة mohamad.)
دعك من olly وانصحك ب x64dbg لانه اولا حديث وقيد التظوير ويدعم 32 و 64 , تانيا لان له اضافات تدعم اغلب الحمايات الحديثة بلا مشاكل  مثل sharpod و scylla hide , شي اخر ايقاف اللعبة يمكن ان يكون نتجية خطاء من المنقح او اعدادات خاطئة او حماية كما قلت 
و جرب ان تشغل اللعبة وتعمل attach ربما ينجح الامر بدل تشغيلها من المنقح
البحث
أعضاء أعجبوا بهذه المشاركة :
smix0024 غير متصل
.: عضو مثابر :.
**
المشاركات : 60
المواضيع : 18
الإنتساب : May 2020
السمعة : 1
الإعجاب المعطى : 37
الإعجاب المحصل : 108
#3
13-09-2020, 08:03 PM
حسب جوابك !
1>> حاول تعلم اساسيات  assembly language
2>> بعدها تابع هذا الموضوع   
https://www.at4re.net/f/thread-1636.html
البحث
أعضاء أعجبوا بهذه المشاركة :
siddigss غير متصل
.: عضو مثابر :.
**
المشاركات : 67
المواضيع : 3
الإنتساب : Oct 2019
السمعة : 15
الإعجاب المعطى : 70
الإعجاب المحصل : 121
#4
13-09-2020, 08:26 PM
(13-09-2020, 05:41 PM)Cyros كتب : هل يمكن ان يكون هنالك دالة اخرى لفحص ان كان هنالك منقح غير IsDebuggerPresent ؟

دالة CheckRemoteDebuggerPresent
I am homesick for a place I have not even visited
مَا ابْيَضَّ وجهٌ باكتساب كريمةٍ ... حتى يسوِّدهُ شُحوب المَطلبِ
الموقع البحث
أعضاء أعجبوا بهذه المشاركة : Cyperior , Cyros
Cyros غير متصل
.: عضو مثابر :.
**
المشاركات : 78
المواضيع : 17
الإنتساب : Aug 2020
السمعة : 7
الإعجاب المعطى : 146
الإعجاب المحصل : 85
#5
29-09-2020, 11:17 AM (آخر تعديل لهذه المشاركة : 29-09-2020, 05:36 PM بواسطة Cyros. تعديل السبب: استبدال بالملف الاصلي ورفعه )
السلام عليكم
هنالك Crackme جربت ان افحصه ب RDG فظهر انه يحتوي  IsDebuggerPresent
بحثت عن المنطقة التي يستدعي بها البرنامج هذه الدالة وقمت بكتابة
XOR EAX,EAX لكي لا يقفز  ( يعني استبدلت CALL IsDebuggerPresent  ب XOR EAX,EAX  لان بعدها تعليمة TEST EAX,EAX ) عند العنوان 708D17BD
ثم قمت بحفظ التعديلات بملف تنفيذي باسم Crackme2
Copy to executable > All modifiction >Copy all > save file
ثم جربت افحصه ان لا تزال IsDebuggerPresent عبر فحصه ب RDG Packer detector ولكن بقيت !
ثم حملت  Crackme2 في Ollydbg و
ctrl+G (IsDebuggerPresent)
ووضعت توقف على ما تطلب دالة IsDebuggerPresent من تعليمات فيمكتبة kernelbase.dll يعني تعليمات

INT3
MOV EAX,DWORD PTR FS:[0x30]
MOVZX EAX,BYTE PTR DS:[EAX+0x2]
RETN
ورايت دالة GetSystemMetrics تتحقق من وجود منقح عير طلبها نفس التعليمات التي تطلبها IsDebuggerPresent بعدها ايضا تعليمة TEST EAX,EAX ثم قفزة تحقق وعملت لها مثلما عملت للدالة الاولى ثم حفظت الملف باسم 3 ثم فحصته ب RDG ورابت مازال يعطي IsDebuggerPResent ثم حملت 3 بالمنقح ورابت ايضا هنالك دالة بنفس الاسم  GetSystemMetrics تتحقق ثم جربت ان اعمل لها نفس الشيئ للدالة الاولى فظهرت دالة GetSystemMetric
جربت ابحث يوجد شيئ رابت شيئ اسمه Anti-debugging ارجو من لديه خبرة ان يشرح عنه
ولاحظت الكثير من البرامج المعروفة التي نستخدمها التي فيها تسجيل ودفع ك  WinRAR , Internet Download Manger ليست محمية وانما عندما فحصها ب RDG  يعطي انها IsDebuggerPresent هل هذا  يعني انها تحتوي خوارزمية كشف المنقح ؟
ايضا هذه ال Crackme ثقيلة بالنسبة بالنسبة ل crackmes بحجم 3.9MB هل هذا بسبب هذه الخوارزمية ؟
[صورة مرفقة: pqWYH5z.png]
ارجو من لديه خبرة يفيد باجابته
هذا رابط  ال Crackme :
https://gofile.io/d/9x7Ay0
( وَفِىٓ أَنفُسِكُمْ ۚ أَفَلَا تُبْصِرُونَ )
البحث
أعضاء أعجبوا بهذه المشاركة :
samoray غير متصل
.: عضو فعال :.
****
المشاركات : 205
المواضيع : 22
الإنتساب : Aug 2019
السمعة : 11
الإعجاب المعطى : 591
الإعجاب المحصل : 461
#6
29-09-2020, 04:30 PM
أنصحك أن لا تتعب نفسك في مخاوله تخطي IsDebuggerPresent
فهناك العديد من الأضافات التي تقوم بالعملية نيابة عنك
ما عليك الا التركيز على الأهم و هو محاولة كسر السيريال او الحماية الرئيسية للبرنامج
استعمل Ollydbg  المنزل هنا للأخ MIXOR و سيغنيك عن البحث .
البحث
أعضاء أعجبوا بهذه المشاركة : Cyros
Cyros غير متصل
.: عضو مثابر :.
**
المشاركات : 78
المواضيع : 17
الإنتساب : Aug 2020
السمعة : 7
الإعجاب المعطى : 146
الإعجاب المحصل : 85
#7
29-09-2020, 05:40 PM (آخر تعديل لهذه المشاركة : 29-09-2020, 05:58 PM بواسطة Cyros.)
(29-09-2020, 04:30 PM)samoray كتب : نصحك أن لا تتعب نفسك في مخاوله تخطي IsDebuggerPresent
فهناك العديد من الأضافات التي تقوم بالعملية نيابة عنك
ما عليك الا التركيز على الأهم و هو محاولة كسر السيريال او الحماية الرئيسية للبرنامج
استعمل Ollydbg  المنزل هنا للأخ MIXOR و سيغنيك عن البحث .

نعم اعرف ولكن لدي فضول في معرفة عن anti-debug  معلومات سطحية طالما هذه ال Crackme مستوى 1  وتحتوي مثل هكذا اشياء
( وَفِىٓ أَنفُسِكُمْ ۚ أَفَلَا تُبْصِرُونَ )
البحث
أعضاء أعجبوا بهذه المشاركة :
mohamad غير متصل
.: مجرب إصدارات AT4RE :.
*****
AT4RE Releases Tester
المشاركات : 559
المواضيع : 25
الإنتساب : Nov 2018
السمعة : 7
الإعجاب المعطى : 513
الإعجاب المحصل : 497
#8
29-09-2020, 07:31 PM
(29-09-2020, 05:40 PM)Cyros كتب : نعم اعرف ولكن لدي فضول في معرفة عن anti-debug  معلومات سطحية طالما هذه ال Crackme مستوى 1  وتحتوي مثل هكذا اشياء

اذا كان عندك اافضول ابحث عنها في جدول الدوال المستوردة واعمل نقاط توقف علي الاماكن التي تستعملها
البحث
أعضاء أعجبوا بهذه المشاركة :
Polia غير متصل
.: عضو فعال :.
****
المشاركات : 263
المواضيع : 56
الإنتساب : Apr 2019
السمعة : 4
الإعجاب المعطى : 488
الإعجاب المحصل : 355
#9
20-01-2021, 10:35 AM
في دورة azma لي هي من تأليف ريكاردو
قد شرح الدالة السابقة IsDebuggerPresont يا ريت تطلع عليها لتكتسب بعض من الخبرة في التعامل معها
رَبِّ إِنِّي لِمَا أَنْزَلْتَ إِلَيَّ مِنْ خَيْرٍ فَقِيرٌ 
البحث
أعضاء أعجبوا بهذه المشاركة : PowerUser , Cyperior , Cyros
Cyros غير متصل
.: عضو مثابر :.
**
المشاركات : 78
المواضيع : 17
الإنتساب : Aug 2020
السمعة : 7
الإعجاب المعطى : 146
الإعجاب المحصل : 85
#10
20-01-2021, 04:59 PM
هنالك ايضا مقال وجدته Anti-Unpacker tricks يشرح الطرق المتبعة لاكتشاف المنقح وكيفية تفاديها وايضا عن Anti-dump


الملفات المرفقة
.pdf   unpackers.pdf (الحجم : 213.93 KB / التحميلات : 76)
( وَفِىٓ أَنفُسِكُمْ ۚ أَفَلَا تُبْصِرُونَ )
البحث
أعضاء أعجبوا بهذه المشاركة :


التنقل السريع :


يقوم بقرائة الموضوع: بالاضافة الى ( 8 ) ضيف كريم