Anti-debug

Sur tout ce qui concerne la sécurité des réseaux et systèmes avec leur protection et comment les contourner.

Re: Anti-debug

Messagepar Martinooooo » 21 Mars 2017, 23:02

Les instructions VM WinDev compilées se trouvent dans une section RWE hors exécutable.
Si tu souhaites vraiment attendre qu'une VM soit atteinte, tu fais un clic droit sur la section .text de cette dll et il y a un "break" possible sur toute la section.
Acme::Don't
Acme::Bleach
Acme::Pony
Lingua::Romana::Perligata
The Lingua::Romana::Perligata makes it makes it possible to write Perl programs in Latin. (If you have to ask "Why?", then the answer probably won't make any sense to you either.)
Avatar de l’utilisateur
Martinooooo
Maître des ténèbres
Maître des ténèbres
 
Messages: 577
Inscription: 19 Août 2008, 08:20
Localisation: DR8, le + utile DRx

Re: Anti-debug

Messagepar jean02 » 22 Mars 2017, 01:07

merci Martinooooo pour ces infos , effectivement ,j'ai remarqué ceci.
Aurais-tu une idée sur la façon de suivre mon saut de windev à ma dll en c++ avec olly ? , je ne vois pas cette dll dans les view , enfin est-ce possible ?
la dll doit se voir automatiquement dans les view ou elle disparait une fois déchargé ?
jean02
Elève
Elève
 
Messages: 48
Inscription: 15 Juin 2015, 11:44

Re: Anti-debug

Messagepar dionosis » 22 Mars 2017, 10:08

Salut,

Si effectivement elle est déchargée alors après ce moment tu ne la verras plus dans la vue spécifique.

Mais, l'Os signale au debugger tous les chargements et déchargements de dll via deux exceptions spécifiques.
Tu peux lui demander (pour Olly 1 que tu utilises) de breaker quand elles sont reçues via [Options] > [Debugging options] > [Event] : "Break on new module (DLL)" / "Break on module (DLL) unloading".

Puisqu'on sait qu'elles sont chargées dynamiquement au runtime et que tu soupçonnes qu'elles soient ensuite déchargées dynamiquement, il te faudra te situer entre ces deux évennements pour aller fouiller dedans.

++
Avatar de l’utilisateur
dionosis
Maître des ténèbres
Maître des ténèbres
 
Messages: 507
Inscription: 09 Octobre 2009, 21:43

Re: Anti-debug

Messagepar jean02 » 26 Mars 2017, 23:38

Bonsoir,
alors , en faites , c'est un bug de olly , il faut faire View => Exécutable modules et actualiser
il ne faut pas passer par la fenêtre du désassembler => view
bizarre mais bon
pour [Options] > [Debugging options] > [Event] : "Break on new module (DLL)" / "Break on module (DLL) unloading".
ça fonctionne impeccable , merci
jean02
Elève
Elève
 
Messages: 48
Inscription: 15 Juin 2015, 11:44

Précédente

Retourner vers Sécurité informatique

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités