[C++] Freeware anti-debug code/library

Ik denk dat de voornaamste truck een crc van je geheugen is; als daar int 3s in voorkomen weet je dat je gedebugged wordt. Verder kan je in je eigen code nog op willekeurige punten int 3s zetten. Libraries hiervoor ken ik niet.

Zie ook hier

[ Voor 14% gewijzigd door Zoijar op 22-03-2005 15:25 ]

Misschien een rare vraag en enigszins offtopic, maar wat wil je daarmee bereiken?

Want je kan het anderen alleen maar wat moeilijker maken, niet onmogelijk, terwijl je er zelf toch wel wat energie gaat insteken. Als men echt iets wil weten komt men er toch zo achter hoor. So why bother?

En als je een kant en klaar pakket daarvoor gaat gebruiken zijn er vaak al kant en klare cracks voor die meteen al voor niets je programma kunnen kraken zonder dat ze er maar ooit van gehoord hebben.

Zoijar schreef op dinsdag 22 maart 2005 @ 15:10:
Ik denk dat de voornaamste truck een crc van je geheugen is; als daar int 3s in voorkomen weet je dat je gedebugged wordt. Verder kan je in je eigen code nog op willekeurige punten int 3s zetten. Libraries hiervoor ken ik niet.

Zie ook hier

Die link is 8 jaar oud. Lijkt me dat ICE verandert.

Overigens denk ik dat de INT3 truc niet werkt tegen een actieve debugger. Ten eerste ga je dan voorbij aan de Trap Flag (EFLAGS register bit , ten tweede kun je volgens mij een breakpoint zetten op het adres zelf (debug register, #DB Debug trap/fault). Bij de berekening van de CRC krijg je dan een trap resp fault, en kun je de INT3 zo verbergen. (Weet niet zeker, dat is boek 3 van de IA32 manual en die heb ik niet).

Naast een INT3 moet je bovendien een UD2 opvangen (levert INT 6 op, aka #UD undefined opcode).

"Programma-eigen" INT3s zijn natuurlijk makkelijk; een debugger alleen reageren op de INT3s die het zelf gezet heeft.

Lijkt mij dit een betere link: doe naar niet

[ Voor 51% gewijzigd door gorgi_19 op 23-03-2005 09:06 ]

alienfruit: Ik heb je link verwijderd; er stonden we iets te veel dubieuze 'hulpstukken' op om minder legale dingen te doen, zoals het omzeilen van beveiligingen e.d.

gorgi_19 schreef op woensdag 23 maart 2005 @ 09:07:
alienfruit: Ik heb je link verwijderd; er stonden we iets te veel dubieuze 'hulpstukken' op om minder legale dingen te doen, zoals het omzeilen van beveiligingen e.d.

Eigenlijk ook wel logisch... een goede cracker zal ook goede beveiligingen kunnen maken, juist omdat hij bekend is met de verschillende valkuilen en mogelijkheden die een programma kunnen cracken.

Twee kanten van dezelfde munt...

...en zelfs als ze de boel niet door een debugger halen, dan reverse-engineeren ze het wel met iets als Ida Pro.

My humble opinion would be, mee leren leven dat er mensen kunnen zijn die de boel willen uitlezen, en gewoon een goede copyright notice op plakken .

gorgi : die link was meer bedoelt als informatie bron, je kan er veel informatie ophalen hoe de crackers het aanpakken, en zodoende rekening ermee houden. Dat was het idee toen ik het postte in ieder geval

Gewoon releasen. Wees blij als je software wordt gecracked, dat betekend dat mensen het een goed appie vinden

Jrz schreef op woensdag 23 maart 2005 @ 14:58:
Gewoon releasen. Wees blij als je software wordt gecracked, dat betekend dat mensen het een goed appie vinden

Pardon?

Dat betekend geen drol, mensen vinden je app juist de moeite waard als ze de moeite nemen om de CC uit de portemonnee te trekken. En dat gebeurt veels te weinig meer tegenwoordig. Alles wordt immers tegenwoordig gekraakt, of de software nou populair is of niet. (tenzij het uiteraard OSS of gratis sofware betreft)

unclero schreef op woensdag 23 maart 2005 @ 14:50:
...en zelfs als ze de boel niet door een debugger halen, dan reverse-engineeren ze het wel met iets als Ida Pro.

My humble opinion would be, mee leren leven dat er mensen kunnen zijn die de boel willen uitlezen, en gewoon een goede copyright notice op plakken .

Ow, elk programma kan gekraakt worden, dat zonder meer.

Maar het is net zoals inbraakbeveiliging bij huizen: als een inbreker merkt dat het nog een hele klus zal worden, zal hij ws. wel eieren voor zijn geld kiezen en een deurtje verder gaan... Alleen een echt handige en vastberade inbreker zal alsnog doorzetten. Gelukkig zijn er van die laatste categorie mensen een stuk minder

Samengevat: hoe meer obstakels je opwerpt, hoe kleiner de kans is dat je programma gekraakt wordt.

Het hangt er ook maar een beetje vanaf wat voor applicatie je schrijft. Als je bijvoorbeeld een fotobewerkingspakket schrijft en je wil concurreren met (zeg) Jasc Paint Shop Pro en Adobe Photoshop, dan heeft beveiligen weinig zin. Iemand die niet wil betalen én jouw programma niet kan kraken, gebruikt dan wel een alternatief van de concurrent (waar zeker wel cracks/keygens voor zijn).

In dat geval kun je waarschijnlijk beter eieren voor je geld kiezen en accepteren dat jouw product gebruikt wordt zonder dat er voor betaald wordt, dan krijg je er in ieder geval een stukje marktaandeel voor terug, en dat is waar het uiteindelijk om gaat. (Bedrijven als Microsoft hebben dat allang door, die kunnen best voorkomen dat iedereen massaal illegale Windows en Office installaties gebruikt, maar dat doen ze niet.)

Soultaker schreef op donderdag 24 maart 2005 @ 16:03:
(Bedrijven als Microsoft hebben dat allang door, die kunnen best voorkomen dat iedereen massaal illegale Windows en Office installaties gebruikt, maar dat doen ze niet.)

Dat doen ze dus inmiddels wel. Office bijv. kun je niet meer gebruiken boven een x aantal activaties. Ik geloof eigenlijk niet dat ze zo ver zouden gaan, en dan niet de moeite nemen om cracks te detecteren.

In windows heb je gewoon een call is debugger attached. Als je een debugger attached zij er namelijk een aantal dingen die daarvoor gezet worden in het process en die kan je dus uitlezen. Met de kernel debugger kan je weer een break point zetten op de call en iets anders returnen. Maar de meeste gebruikers zullen toch niet met de kernal debugger spelen .

Onzin. Illegaal gebruik wordt gewoon gedoogd door de politie; er is geen enkele opsporing of vervolging. Als Microsoft echt illegaal thuisgebruik zou willen uitbannen, zouden ze allang aan de bel hebben getrokken dat de overheid de plicht heeft de door haar gestelde wetten na te leven. Maar dat doen ze niet, want daar hebben ze geen belang bij.

Soultaker schreef op donderdag 24 maart 2005 @ 17:09:
Onzin. Illegaal gebruik wordt gewoon gedoogd door de politie; er is geen enkele opsporing of vervolging. Als Microsoft echt illegaal thuisgebruik zou willen uitbannen, zouden ze allang aan de bel hebben getrokken dat de overheid de plicht heeft de door haar gestelde wetten na te leven. Maar dat doen ze niet, want daar hebben ze geen belang bij.

Nee. dat is een misvatting. Het Auteursrecht is een mengvorm, civiel- en strafrecht. Het wordt pas strafrechterlijk vervolgd als het (a) grootschalig is en (b) opportuun. (Meestal volgt b uit a). De overheid is niet verplicht een wet af te dwingen (zie coffeshops) en al helemaal geen civielrecht. Dat laatste kunnen ze niet eens, dat is uitsluitend een zaak tussen Microsoft en de thuisgebruiker.

Klopt ja, maar ze hebben middelen zat. Ze kunnen zo een lijst van enkele tienduizenden IP-adressen opstellen die met de beruchte FCKGW-key bij Windows Update langsgekomen zijn. Vervolgens eisen ze voor de rechter dat de ISP's ze de adresgegevens die daarbij horen moeten geven. Als de overheid illegaal softwaregebruik serieus neemt dan krijgen ze die. Vervolgens kunnen ze tegen alle gebruikers afzonderlijk een civiele procedure starten.

Mijn punt was dat de overheid/rechters illegaal software gebruik als serieus genoeg moet erkennen omdat Microsoft anders geen beschikking krijgt over de persoonsgegevens van internetgebruikers. Verder is het inderdaad gewoon civielrecht en heeft de het ministerie van justitie er weinig mee te maken.

Vervolgens kunnen ze best een schadevergoeding eisen die de kosten van die acties compenseert. Zo bezien verliezen ze er dus niets op. Maar ze doen het niet, want feitelijk zijn ze hartstikke blij dat 'iedereen' hun producten illegaal thuis gebruikt.

[ Voor 20% gewijzigd door Soultaker op 24-03-2005 19:35 ]

gorgi_19 schreef op woensdag 23 maart 2005 @ 09:07:
alienfruit: Ik heb je link verwijderd; er stonden we iets te veel dubieuze 'hulpstukken' op om minder legale dingen te doen, zoals het omzeilen van beveiligingen e.d.

ben bang dat je om deze reden hiervoer niet veel feedback op got zult krijgen. de anti hack spullen worden met name op hack sites uitgelegd. en dat schiet niet op op. Tja en gpl sources wil je niet, want dan moet je je eingen sources ook releasen. Dus dan heeft antihack helemaal geen zin (tenzij ik iets over het hoofd zie)