Page 1 of 2

VMProtect Linux + GDB

Posted: Wed Sep 06, 2017 6:05 am
by sergey_k
Добрый день.
Вопрос по обнаружению отладки под Linux.
Имеем бинарник, защищенный протектором с включенной опцией обнаружения отладчика. Однако GDB прекрасно работает, защита его не обнаруживает.

В чем может быть дело? Обнаружение отладчика под никсами работает?

Re: VMProtect Linux + GDB

Posted: Thu Sep 07, 2017 4:19 am
by Admin
К сожаление обнаружение отладчика пока не работает.

Re: VMProtect Linux + GDB

Posted: Thu Sep 07, 2017 4:36 am
by sergey_k
А планируется?

Re: VMProtect Linux + GDB

Posted: Fri Sep 08, 2017 5:30 am
by Admin
Проверяйте (3.1.2.877):
http://vmpsoft.com/files/VMProtectDemo_x64.tar.gz

Re: VMProtect Linux + GDB

Posted: Fri Sep 08, 2017 11:24 am
by sergey_k
При таком запуске:
sudo gdb ./App.protected
...
start
Защищенное приложение падает с ответом отладчика exit with code 0336, то есть вроде все хорошо.

А если попытаться приаттачится к уже запущенному приложению:
sudo gdb --pid=XXXX
continue


То все работает, отладчик не обнаруживается.

Параллельно есть еще вопрос - поддерживается ли защита .so, так как у нас после компиляции в итоговом файле пропадает заголовок ELF

Re: VMProtect Linux + GDB

Posted: Fri Sep 08, 2017 1:49 pm
by Admin
А если попытаться приаттачится к уже запущенному приложению:
sudo gdb --pid=XXXX
continue

То все работает, отладчик не обнаруживается.
Антиаттача пока нет.
Параллельно есть еще вопрос - поддерживается ли защита .so, так как у нас после компиляции в итоговом файле пропадает заголовок ELF
Поддерживается. Присылайте тестовый пример, на котором воспроизводится проблема.

Re: VMProtect Linux + GDB

Posted: Mon Sep 11, 2017 12:00 pm
by sergey_k
По библиотеке отбой, разобрались.
Когда ждать реализации антиаттача и выхода полнофункциональной версии протектора с этими правками?

Re: VMProtect Linux + GDB

Posted: Tue Sep 12, 2017 3:58 am
by Admin
По антиаттачу пока сроки назвать не могу, т.к. нужны исследования в этой области.

Re: VMProtect Linux + GDB

Posted: Fri Oct 20, 2017 7:24 am
by sergey_k
Обнаружили еще вот что.
KUbuntu 14.04 64 bit. Защищённое приложение запускается как служба (через систему upstart). Если выключена защита от отладки, то всё хорошо. Если включена (не важно user mode или user mode + kernal mode), то служба не запускается. По-видимому срабатывает защита от отладки.

Re: VMProtect Linux + GDB

Posted: Sun Nov 05, 2017 5:27 am
by Admin
Что выдает "/proc/self/status" на такие процессы?

Re: VMProtect Linux + GDB

Posted: Tue Nov 07, 2017 7:29 am
by sergey_k
Запрос статуса службы
initctl status <имя службы>
выдаёт
<имя службы> start/running, process 1045
Но процесса 1045 нету, и папки для него в proc тоже нету.

Re: VMProtect Linux + GDB

Posted: Tue Nov 07, 2017 7:41 am
by Admin
если выполнить "/proc/self/status" из службы что покажет?

Re: VMProtect Linux + GDB

Posted: Tue Nov 07, 2017 9:06 am
by sergey_k
Нельзя ничего сделать из защищенной службы, так как до нашего кода управление не доходит.

Re: VMProtect Linux + GDB

Posted: Tue Nov 07, 2017 6:00 pm
by Admin
Для НЕЗАЩИЩЕННОЙ запустите.

Re: VMProtect Linux + GDB

Posted: Wed Nov 08, 2017 9:43 am
by sergey_k
Прикладываю
data.7z
(590 Bytes) Downloaded 328 times