-
-
[讨论]关于TTProtect的讨论,欢迎对TTProtect提意见
-
发表于: 2008-7-13 21:08
-
TTProtect得到了很多人的宝贵意见和帮忙测试,先表示感谢。
这个是共享论坛的一个讨论帖。
转载一下,没别的意思,仅仅是一个讨论,多一些人讨论好一些。在共享论坛就两个人说话,成了独角戏了。
先感谢一下,希望各位能继续提出宝贵意见,谢谢。
TTProtect的发展离不开大家的支持。
原帖地址 http://www.cnsw.org/bbs/thread-82962-1-1.html
JSniperWYC:
TTProtect软件的问题,请作者再进一下!
可能是我吹毛求疵了点吧,过分之处请见谅:
我用DEMO版本的程序加密了计算器程序calc.exe,其中阻止调试选项为“中”,发现调试器的选项为“显示对话框”,加密后文件名为pcalc.exe。 之后,用金山游侠加载该程序,可以正常修改程序数据。而加密的系统一点反应也没有。由于金山游侠虽然是游戏修改软件,但是其主程序KNIGHT.EXE用Dependency walker查看后,发现其使用了DebugActiveProcess等调试系列的函数,由此我感觉你这个程序也许在阻止调试和防止修改数据方面也许不是很强,也许是我太吹毛求疵了一点吧,但关于此点希望看到你的解释。 谢谢!
又及:可否得到一个你的正式版的程序,在阻止调试选项和发现调试器选项都选高,以及防止调试器附加被打开的同时,的一个加密后的程序版本。我想再验证一下。
[ 本帖最后由 JSniperWYC 于 2008-7-13 02:07 编辑 ]
TTProtect:
你可以直接拿主程序来做实验,谢谢
TTProtect:
Demo版功能是有限制的。我无法专门为你的实验提供服务。
TTProtect:
对使用哪些功能,不要用Dependency walker看,请使用Ollydbg或Soft Ice看,谢谢。
JSniperWYC:
可能我的意思没有表达好吧,我的意思是说,用一个有调试器嫌疑很大的程序(金山游侠)来加载入你加密后的程序,并且加载后还修改你加密过的程序的数据,你的反调试系统没有反应,哪怕勾上了阻止调试和拒绝调试器加载。看来你的反调试手段只是针对目前市面上流行的几款作品,对于可能出现的未知情况没有什么反抗能力。如果市面上突然出来一款新的调试产品,可能你的东西就不行了。
另一方面,我感觉只要你能让调试器加载,被破掉是迟早的事。把调试器堵在门口连加载都最好彻底堵死我觉得最好。加载不了就谈不上对软件进行研究工作,也就更谈不上破解了。
[ 本帖最后由 JSniperWYC 于 2008-7-13 08:40 编辑 ]
TTProtect:
1。请研究一下这类程序是否是调试器。
2。请了解一下修改内存和调试的区别。
3。请拿主程序做实验。
4。请不用使用嫌疑的字眼
5。请用调试器来确定,不要猜测
6。谢谢
引用:
原帖由 JSniperWYC 于 2008-7-13 08:38 发表
可能我的意思没有表达好吧,我的意思是说,用一个有调试器嫌疑很大的程序(金山游侠)来加载入你加密后的程序,并且加载后还修改你加密过的程序的数据,你的反调试系统没有反应,哪怕勾上了阻止调试和拒绝调试器加载 ...
[ 本帖最后由 ttprotect 于 2008-7-13 08:46 编辑 ]
JSniperWYC:
好吧,我不多说了,谢谢!
非常抱歉,我绝没有想踢你场子的意思。
[ 本帖最后由 JSniperWYC 于 2008-7-13 08:49 编辑 ]
TTProtect:
写这个程序是不怕人踢场子的。
只不过觉得你好多概念还没有弄清楚。
如果觉得需要进一步讨论,请在下面回复。
我们将此帖转入看雪论坛,那个地方更合适一些。
参与的人会更多一些,不会是我们的独角戏。
谢谢
JSniperWYC:
引用:
原帖由 ttprotect 于 2008-7-13 09:04 发表
写这个程序是不怕人踢场子的。
这话倒是。
引用:
原帖由 ttprotect 于 2008-7-13 09:04 发表
只不过觉得你好多概念还没有弄清楚。
这我倒并不承认,我并不是不懂概念,我只是在考虑一个调试器程序所共有的一种行为,试图设法阻止所有的调试器,而并不是单只一款特定的调试器,象金山游侠虽然作为游戏修改软件,但从程序所需的函数来看它具备调试的能力,如果有人写一个程序注入金山游侠然后调用它的调试函数来修改你的软件,反调试加载能力就整个被破解了。
引用:
原帖由 ttprotect 于 2008-7-13 09:04 发表
我们将此帖转入看雪论坛,那个地方更合适一些。
参与的人会更多一些,不会是我们的独角戏。
谢谢
希望你给出看雪论坛帖子的地址,我找了一下好象没有找到,还有,感觉看雪论坛上的高手基本上都在潜水,一天到晚发问哪个壳该怎么破的都是些小菜鸟。不过就反调试加载的能力来看,足以把这些菜鸟通通打趴下了。但如果反调试加载能力被破,你的那些反调试反跟踪手段我看对它们来说根本不算什么。就我个人来看,你的反调试器加载的功能对于那些高手来说可能也挡不了多久,就象我上面讲用注入金山游侠然后调试的方法,那些人绝对做的到。希望你加强这方面的功能,这是我的建议。
还有一个建议,我个人认为,你真的不应该把DEMO主程序发出去,你好歹发一个被加密后的crackme到它们那里比较安全一些。不知道你是对自己的产品真的太有信心,还是太不了解看雪论坛上有些人的实力,那里有些高手确实很厉害,不是吹的。另外,建议你把整个界面做成ASP.NET,用户通过网页勾选相应的选项,然后传递要加密的程序到你的服务器,服务器加密完后传回用户。这种方式也许会更自动化一些。这是我的想法,至少我的产品出来以后我会打算这么干。
谢谢!
这个是共享论坛的一个讨论帖。
转载一下,没别的意思,仅仅是一个讨论,多一些人讨论好一些。在共享论坛就两个人说话,成了独角戏了。
先感谢一下,希望各位能继续提出宝贵意见,谢谢。
TTProtect的发展离不开大家的支持。
原帖地址 http://www.cnsw.org/bbs/thread-82962-1-1.html
JSniperWYC:
TTProtect软件的问题,请作者再进一下!
可能是我吹毛求疵了点吧,过分之处请见谅:
我用DEMO版本的程序加密了计算器程序calc.exe,其中阻止调试选项为“中”,发现调试器的选项为“显示对话框”,加密后文件名为pcalc.exe。 之后,用金山游侠加载该程序,可以正常修改程序数据。而加密的系统一点反应也没有。由于金山游侠虽然是游戏修改软件,但是其主程序KNIGHT.EXE用Dependency walker查看后,发现其使用了DebugActiveProcess等调试系列的函数,由此我感觉你这个程序也许在阻止调试和防止修改数据方面也许不是很强,也许是我太吹毛求疵了一点吧,但关于此点希望看到你的解释。 谢谢!
又及:可否得到一个你的正式版的程序,在阻止调试选项和发现调试器选项都选高,以及防止调试器附加被打开的同时,的一个加密后的程序版本。我想再验证一下。
[ 本帖最后由 JSniperWYC 于 2008-7-13 02:07 编辑 ]
TTProtect:
你可以直接拿主程序来做实验,谢谢
TTProtect:
Demo版功能是有限制的。我无法专门为你的实验提供服务。
TTProtect:
对使用哪些功能,不要用Dependency walker看,请使用Ollydbg或Soft Ice看,谢谢。
JSniperWYC:
可能我的意思没有表达好吧,我的意思是说,用一个有调试器嫌疑很大的程序(金山游侠)来加载入你加密后的程序,并且加载后还修改你加密过的程序的数据,你的反调试系统没有反应,哪怕勾上了阻止调试和拒绝调试器加载。看来你的反调试手段只是针对目前市面上流行的几款作品,对于可能出现的未知情况没有什么反抗能力。如果市面上突然出来一款新的调试产品,可能你的东西就不行了。
另一方面,我感觉只要你能让调试器加载,被破掉是迟早的事。把调试器堵在门口连加载都最好彻底堵死我觉得最好。加载不了就谈不上对软件进行研究工作,也就更谈不上破解了。
[ 本帖最后由 JSniperWYC 于 2008-7-13 08:40 编辑 ]
TTProtect:
1。请研究一下这类程序是否是调试器。
2。请了解一下修改内存和调试的区别。
3。请拿主程序做实验。
4。请不用使用嫌疑的字眼
5。请用调试器来确定,不要猜测
6。谢谢
引用:
原帖由 JSniperWYC 于 2008-7-13 08:38 发表
可能我的意思没有表达好吧,我的意思是说,用一个有调试器嫌疑很大的程序(金山游侠)来加载入你加密后的程序,并且加载后还修改你加密过的程序的数据,你的反调试系统没有反应,哪怕勾上了阻止调试和拒绝调试器加载 ...
[ 本帖最后由 ttprotect 于 2008-7-13 08:46 编辑 ]
JSniperWYC:
好吧,我不多说了,谢谢!
非常抱歉,我绝没有想踢你场子的意思。
[ 本帖最后由 JSniperWYC 于 2008-7-13 08:49 编辑 ]
TTProtect:
写这个程序是不怕人踢场子的。
只不过觉得你好多概念还没有弄清楚。
如果觉得需要进一步讨论,请在下面回复。
我们将此帖转入看雪论坛,那个地方更合适一些。
参与的人会更多一些,不会是我们的独角戏。
谢谢
JSniperWYC:
引用:
原帖由 ttprotect 于 2008-7-13 09:04 发表
写这个程序是不怕人踢场子的。
这话倒是。
引用:
原帖由 ttprotect 于 2008-7-13 09:04 发表
只不过觉得你好多概念还没有弄清楚。
这我倒并不承认,我并不是不懂概念,我只是在考虑一个调试器程序所共有的一种行为,试图设法阻止所有的调试器,而并不是单只一款特定的调试器,象金山游侠虽然作为游戏修改软件,但从程序所需的函数来看它具备调试的能力,如果有人写一个程序注入金山游侠然后调用它的调试函数来修改你的软件,反调试加载能力就整个被破解了。
引用:
原帖由 ttprotect 于 2008-7-13 09:04 发表
我们将此帖转入看雪论坛,那个地方更合适一些。
参与的人会更多一些,不会是我们的独角戏。
谢谢
希望你给出看雪论坛帖子的地址,我找了一下好象没有找到,还有,感觉看雪论坛上的高手基本上都在潜水,一天到晚发问哪个壳该怎么破的都是些小菜鸟。不过就反调试加载的能力来看,足以把这些菜鸟通通打趴下了。但如果反调试加载能力被破,你的那些反调试反跟踪手段我看对它们来说根本不算什么。就我个人来看,你的反调试器加载的功能对于那些高手来说可能也挡不了多久,就象我上面讲用注入金山游侠然后调试的方法,那些人绝对做的到。希望你加强这方面的功能,这是我的建议。
还有一个建议,我个人认为,你真的不应该把DEMO主程序发出去,你好歹发一个被加密后的crackme到它们那里比较安全一些。不知道你是对自己的产品真的太有信心,还是太不了解看雪论坛上有些人的实力,那里有些高手确实很厉害,不是吹的。另外,建议你把整个界面做成ASP.NET,用户通过网页勾选相应的选项,然后传递要加密的程序到你的服务器,服务器加密完后传回用户。这种方式也许会更自动化一些。这是我的想法,至少我的产品出来以后我会打算这么干。
谢谢!
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
如果是内存修改一类的 ,那应该是CHEAT ENGINE 。
http://www.cheatengine.org/index.php 在强壳讨论贴留名 
|
|
|
|
|
|
|
|
|
|
|
|
在我的WinXP SP1下无法运行。SP2可以,我的OD可调试。
才注意,1.01过不了了 
|
|
|
|
|
|
1.01不用rdtsc了吗? 我关掉int0d的hook倒可以了。不过感觉比较运行时间似乎不是很可靠。
我现在已不再有精力消耗大量时间去跟壳较劲了  |
|
|
|
|
|
|
|
|
|
