با سلام و عرض ادب خدمت دوستان

یه مدت دارم رو یه سری روش های چند لایه برای شناسایی دیباگر تحقیق و تفکر می کنم!
به یه سری روش های ابتکاری رسیدم . به صورت نیمه سربسته توضیح می دم و از استاید می خوام اگه میشه یکم کمک کنن بگن الگوریتم ها خوب هستن یا نه؟


روش 1 : تمامی پنجره های موجود لیست میشن و به دنبال Sign در بین عنوان پنجره های می گردم . واسا یه لحظه عجله نکن . این متد براحتی به پتچ کردن 5و6 بایت توی توابع ویندوز از کاری می افته. برای همین من قابل فراخوانی تابع چک می کنم ایا تابع مورد نظر دستکاری شده یا نه؟


روش 2 : استفاده از Parrent Process Check و بازم اسکن اینکه آیا تابع مذکور دستکاری شده یا نه؟

و یه چنتا روش دیگه.

و در آخر برای مقایسه نتایج با نتیجه مطلوب از هیچ تاع داخلی . API و Virtual Machine Function برای استفاده نمی کنم . یعنی هیچ شرطی درکار نیست . در هر صورت کد اجرا میشه منتهی اگه نتیجه مطلوب باشه کار مطلوب (ریست سیستم !) صورت میگیره
قضیه بعدی اینکه برنامه بخش هایی از خودشو هم اسکن می کنه که ببینه کد های خودش هم پتچ شده یا نه؟ Generic Hash هم نیست
و نکته انتهایی الگوریتم های بالا تئوری نیست و به مرحله عمل رسوندم

تلاشتون قابل تقدیره ولی فقط راه حل ارائه شده در مورد روشهایی که عنوان کردید رو ذکر میکنم ، امیدوارم براتون مفید واقع بشه.

روش 1 : تمامی پنجره های موجود لیست میشن و به دنبال Sign در بین عنوان پنجره های می گردم . واسا یه لحظه عجله نکن . این متد براحتی به پتچ کردن 5و6 بایت توی توابع ویندوز از کاری می افته. برای همین من قابل فراخوانی تابع چک می کنم ایا تابع مورد نظر دستکاری شده یا نه؟
استفاده از Olly های Modify شده یا پچ کردن Caption دیباگر به صورت دستی و ...

روش 2 : استفاده از Parrent Process Check و بازم اسکن اینکه آیا تابع مذکور دستکاری شده یا نه؟
استفاده از Ramolly یا پلاگین هایی نظیر Strong OD و البته کم دردسر تر استفاده از HideToolz

و در آخر برای مقایسه نتایج با نتیجه مطلوب از هیچ تاع داخلی . API و Virtual Machine Function برای استفاده نمی کنم . یعنی هیچ شرطی درکار نیست . در هر صورت کد اجرا میشه منتهی اگه نتیجه مطلوب باشه کار مطلوب (ریست سیستم !) صورت میگیره
این هم میشه ولی مطمئنا" هر چیزی به API ختم میشه مگر اینکه در سطح کرنل بخواد درایور اجرا بشه که اون موقع قضیه فرق میکنه.

قضیه بعدی اینکه برنامه بخش هایی از خودشو هم اسکن می کنه که ببینه کد های خودش هم پتچ شده یا نه؟ Generic Hash هم نیست
فرقی نمیکنه ، یعنی قرار نیست برنامه شما Patch بشه ، قراره ابزار مخفی بشن.
پس کنترلی متاسفانه وجود نداره.

به به . سلام بر دوستان عزیزم:لبخند:
امیدوارم حال همگی خوب باشه
راستش یه تست گذاشتم اینجا. ببینید چیکارم
هدف من اینه که ببینم ایا این Detector کوچیک همه جا کار می کنه یا نه؟
نکته: هدف اصلا Patch کردن برنامه نیست.
با ابزار و پلاگین هایی که دارین رو همه شرایط اجرا کنین ببنید چه زمانی دیباگر اجرا هستش و اما برنامه متوجه نمیشه (attach نه).
در ضمن می دونم خیلی بچه بازیه اما خوب دیگه:لبخند:
راستی روی همه پلاگین هایی که داشتم تست کردم کار کرد
Hide Debugger
Strong OD
Olly Invisible
Patched Or Modified Olly Edition
and so on...
موفق باشیم:قلب:

Strong OD Version : 0.2.3.322

Feb 27 2009

براي من ديتكت نميكنه...

روي يه olly 2.0 beta3 هم كه خودم دستكاريش كردم هم نشد...

روی Olly Armadillo تست کردم Detect کرد ، روی Olly UST هم تست کردم چیزی پیدا نکرد. از پلاگین Strong OD هم استفاده کرده بودم ؛ سیستم عامل هم Windows 7 هستش.