Знакомо ли тебе желание разгадать все загадки да вскрыть все защиты Московского Метрополитена? Сделать, например, себе «вечный билет»? Но ведь специалисты метро постоянно находят все более изощренные способы защиты. Металлические жетоны сменились пластиковыми, те, в свою очередь, магнитными билетами, а на смену магнитным пришли бесконтактные карты

Вовлеченный в проект по созданию интерактивного распаковщика PE-файлов, я исследую особенности реализации системного загрузчика Win32 на предмет следования своим же спецификациям. Обилие багов, часть которых носит довольно коварный характер, просто поражает. Итак, сегодня мы продемонстрируем прием, позволяющий прятать код/данные от популярных дизассемблеров типа IDA Pro.

Продолжая окучивать плодородную тему структурных исключений, поговорим о методах скрытой установки SEH-обработчиков, используемых для затруднения дизассемблирования/отладки подопытного кода, а также обсудим возможные контрмеры антиантиотладочных способов.

Когда в очередной раз на форуме спросили, почему установленная точка останова не срабатывает или приводит программу к краху, я не выдержал и нервно застучал по клавиатуре, попытавшись ответить на этот вопрос раз и навсегда. Пришлось собрать воедино огромное количество разрозненной инфы по действительно актуальной теме!

Загадочная аббревиатура TLS таит в себе много секретов. Это — мощнейшее оружие против отладчиков и дизассемблеров. В комбинации с упаковщиками TLS превращается в гремучую смесь термоядерного типа.

Сегодня мы будем ломать мой crackme, напичканный антиотладочными приемами. Они основаны на особенностях обработки исключений отладчиками и на ошибках в debug engine, о которых я расскажу по ходу дела. А заодно продемонстрирую интимные подробности основных хакерских инструментов — «Ольги», «Иды», Syser’а, x86emu и прочих.

Отладчики, работающие через MS Debugging API (OllyDbg, IDA-Pro, MS VC), вынуждены мириться с тем, что отладочные процессы «страдают» хроническими особенностями поведения. Они «ломают» логику программы, и это с огромной выгодой используют защитные механизмы. В частности, API-функция SetUnhandledExceptionFilter() под отладчиком вообще не вызывается — вовсе не баг отладчика, а документированная фича системы!

Охота на флаг трассировки подходит к концу, и дичь уже хрустит на зубах. Продолжив наши эксперименты с TF-битом, мы познакомимся со структурными и векторными исключениями, выводящими борьбу с отладчиками в вертикальную плоскость. Здесь не действуют привычные законы, и приходится долго и нудно ковыряться в недрах системы, чтобы угадать, куда будет передано управление и как усмирить разбушевавшуюся защиту.