VMProtect Linux + GDB

Issues related to VMProtect
sergey_k
Posts: 14
Joined: Wed Sep 06, 2017 6:01 am

VMProtect Linux + GDB

Postby sergey_k » Wed Sep 06, 2017 6:05 am

Добрый день.
Вопрос по обнаружению отладки под Linux.
Имеем бинарник, защищенный протектором с включенной опцией обнаружения отладчика. Однако GDB прекрасно работает, защита его не обнаруживает.

В чем может быть дело? Обнаружение отладчика под никсами работает?

Admin
Site Admin
Posts: 1313
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect Linux + GDB

Postby Admin » Thu Sep 07, 2017 4:19 am

К сожаление обнаружение отладчика пока не работает.

sergey_k
Posts: 14
Joined: Wed Sep 06, 2017 6:01 am

Re: VMProtect Linux + GDB

Postby sergey_k » Thu Sep 07, 2017 4:36 am

А планируется?

Admin
Site Admin
Posts: 1313
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect Linux + GDB

Postby Admin » Fri Sep 08, 2017 5:30 am

Проверяйте (3.1.2.877):
http://vmpsoft.com/files/VMProtectDemo_x64.tar.gz

sergey_k
Posts: 14
Joined: Wed Sep 06, 2017 6:01 am

Re: VMProtect Linux + GDB

Postby sergey_k » Fri Sep 08, 2017 11:24 am

При таком запуске:
sudo gdb ./App.protected
...
start
Защищенное приложение падает с ответом отладчика exit with code 0336, то есть вроде все хорошо.

А если попытаться приаттачится к уже запущенному приложению:
sudo gdb --pid=XXXX
continue


То все работает, отладчик не обнаруживается.

Параллельно есть еще вопрос - поддерживается ли защита .so, так как у нас после компиляции в итоговом файле пропадает заголовок ELF

Admin
Site Admin
Posts: 1313
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect Linux + GDB

Postby Admin » Fri Sep 08, 2017 1:49 pm

А если попытаться приаттачится к уже запущенному приложению:
sudo gdb --pid=XXXX
continue

То все работает, отладчик не обнаруживается.

Антиаттача пока нет.

Параллельно есть еще вопрос - поддерживается ли защита .so, так как у нас после компиляции в итоговом файле пропадает заголовок ELF

Поддерживается. Присылайте тестовый пример, на котором воспроизводится проблема.

sergey_k
Posts: 14
Joined: Wed Sep 06, 2017 6:01 am

Re: VMProtect Linux + GDB

Postby sergey_k » Mon Sep 11, 2017 12:00 pm

По библиотеке отбой, разобрались.
Когда ждать реализации антиаттача и выхода полнофункциональной версии протектора с этими правками?

Admin
Site Admin
Posts: 1313
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect Linux + GDB

Postby Admin » Tue Sep 12, 2017 3:58 am

По антиаттачу пока сроки назвать не могу, т.к. нужны исследования в этой области.

sergey_k
Posts: 14
Joined: Wed Sep 06, 2017 6:01 am

Re: VMProtect Linux + GDB

Postby sergey_k » Fri Oct 20, 2017 7:24 am

Обнаружили еще вот что.
KUbuntu 14.04 64 bit. Защищённое приложение запускается как служба (через систему upstart). Если выключена защита от отладки, то всё хорошо. Если включена (не важно user mode или user mode + kernal mode), то служба не запускается. По-видимому срабатывает защита от отладки.

Admin
Site Admin
Posts: 1313
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect Linux + GDB

Postby Admin » Sun Nov 05, 2017 5:27 am

Что выдает "/proc/self/status" на такие процессы?

sergey_k
Posts: 14
Joined: Wed Sep 06, 2017 6:01 am

Re: VMProtect Linux + GDB

Postby sergey_k » Tue Nov 07, 2017 7:29 am

Запрос статуса службы
initctl status <имя службы>
выдаёт
<имя службы> start/running, process 1045
Но процесса 1045 нету, и папки для него в proc тоже нету.

Admin
Site Admin
Posts: 1313
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect Linux + GDB

Postby Admin » Tue Nov 07, 2017 7:41 am

если выполнить "/proc/self/status" из службы что покажет?

sergey_k
Posts: 14
Joined: Wed Sep 06, 2017 6:01 am

Re: VMProtect Linux + GDB

Postby sergey_k » Tue Nov 07, 2017 9:06 am

Нельзя ничего сделать из защищенной службы, так как до нашего кода управление не доходит.

Admin
Site Admin
Posts: 1313
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect Linux + GDB

Postby Admin » Tue Nov 07, 2017 6:00 pm

Для НЕЗАЩИЩЕННОЙ запустите.

sergey_k
Posts: 14
Joined: Wed Sep 06, 2017 6:01 am

Re: VMProtect Linux + GDB

Postby sergey_k » Wed Nov 08, 2017 9:43 am

Прикладываю
data.7z
(590 Bytes) Downloaded 9 times


Return to “Technical questions”

Who is online

Users browsing this forum: No registered users and 2 guests