VMProtect Linux + GDB

Issues related to VMProtect
sergey_k
Posts: 19
Joined: Wed Sep 06, 2017 6:01 am

VMProtect Linux + GDB

Post by sergey_k »

Добрый день.
Вопрос по обнаружению отладки под Linux.
Имеем бинарник, защищенный протектором с включенной опцией обнаружения отладчика. Однако GDB прекрасно работает, защита его не обнаруживает.

В чем может быть дело? Обнаружение отладчика под никсами работает?
Admin
Site Admin
Posts: 2566
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect Linux + GDB

Post by Admin »

К сожаление обнаружение отладчика пока не работает.
sergey_k
Posts: 19
Joined: Wed Sep 06, 2017 6:01 am

Re: VMProtect Linux + GDB

Post by sergey_k »

А планируется?
Admin
Site Admin
Posts: 2566
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect Linux + GDB

Post by Admin »

Проверяйте (3.1.2.877):
http://vmpsoft.com/files/VMProtectDemo_x64.tar.gz
sergey_k
Posts: 19
Joined: Wed Sep 06, 2017 6:01 am

Re: VMProtect Linux + GDB

Post by sergey_k »

При таком запуске:
sudo gdb ./App.protected
...
start
Защищенное приложение падает с ответом отладчика exit with code 0336, то есть вроде все хорошо.

А если попытаться приаттачится к уже запущенному приложению:
sudo gdb --pid=XXXX
continue


То все работает, отладчик не обнаруживается.

Параллельно есть еще вопрос - поддерживается ли защита .so, так как у нас после компиляции в итоговом файле пропадает заголовок ELF
Admin
Site Admin
Posts: 2566
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect Linux + GDB

Post by Admin »

А если попытаться приаттачится к уже запущенному приложению:
sudo gdb --pid=XXXX
continue

То все работает, отладчик не обнаруживается.
Антиаттача пока нет.
Параллельно есть еще вопрос - поддерживается ли защита .so, так как у нас после компиляции в итоговом файле пропадает заголовок ELF
Поддерживается. Присылайте тестовый пример, на котором воспроизводится проблема.
sergey_k
Posts: 19
Joined: Wed Sep 06, 2017 6:01 am

Re: VMProtect Linux + GDB

Post by sergey_k »

По библиотеке отбой, разобрались.
Когда ждать реализации антиаттача и выхода полнофункциональной версии протектора с этими правками?
Admin
Site Admin
Posts: 2566
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect Linux + GDB

Post by Admin »

По антиаттачу пока сроки назвать не могу, т.к. нужны исследования в этой области.
sergey_k
Posts: 19
Joined: Wed Sep 06, 2017 6:01 am

Re: VMProtect Linux + GDB

Post by sergey_k »

Обнаружили еще вот что.
KUbuntu 14.04 64 bit. Защищённое приложение запускается как служба (через систему upstart). Если выключена защита от отладки, то всё хорошо. Если включена (не важно user mode или user mode + kernal mode), то служба не запускается. По-видимому срабатывает защита от отладки.
Admin
Site Admin
Posts: 2566
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect Linux + GDB

Post by Admin »

Что выдает "/proc/self/status" на такие процессы?
sergey_k
Posts: 19
Joined: Wed Sep 06, 2017 6:01 am

Re: VMProtect Linux + GDB

Post by sergey_k »

Запрос статуса службы
initctl status <имя службы>
выдаёт
<имя службы> start/running, process 1045
Но процесса 1045 нету, и папки для него в proc тоже нету.
Admin
Site Admin
Posts: 2566
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect Linux + GDB

Post by Admin »

если выполнить "/proc/self/status" из службы что покажет?
sergey_k
Posts: 19
Joined: Wed Sep 06, 2017 6:01 am

Re: VMProtect Linux + GDB

Post by sergey_k »

Нельзя ничего сделать из защищенной службы, так как до нашего кода управление не доходит.
Admin
Site Admin
Posts: 2566
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect Linux + GDB

Post by Admin »

Для НЕЗАЩИЩЕННОЙ запустите.
sergey_k
Posts: 19
Joined: Wed Sep 06, 2017 6:01 am

Re: VMProtect Linux + GDB

Post by sergey_k »

Прикладываю
data.7z
(590 Bytes) Downloaded 328 times
Post Reply