Reversing Engenering

This material has only educational purpose!
Target: OllyDbg
Difficulty: n/a
Tools: Api Reference, OllyDbg, mASM and Brain.

Introduction
The year is 2004.The ring-3 debuggers are used often and often.Since they offer Windows GUI they are more handy instead of the ring-0 debuggers (like SoftIce).In this essay i will talk (write) about the detection of one of the best ring-3 debuggers - OllyDbg.Many have heard of the IsDebbugerPresent and of the fs:[20] detecting tricks, but what about some other new ones? Here I will present you some of my own detecting tricks.I will give you the general explanation so you would be able to use your fantasy to improve it yourself.

Приведу набор разбавленных описаниями кусков антиотладочных фич. В общем кому надо они уже давно известны, но я их прокомпилирую, и думаю кое-кому это будет полезно. Замечания по сути материала приветствуются и полезны не только мне, но и вам. Зачем нужна антиотладка? Чтобы такие чмошники как Неокс и его одноклассники не смогли пробраться внутрь вашего злого кода. Т.е. чтобы их грязные ванючие лапы не добрались до святости. Отформатируя диск при попытке отладки мы эти лапы им отпилим, а заодно научим, что им в программировании и реверсинге делать нечего. Конечно, на пабликовские антиотладочные трюки имеются пабликовские способы их обнаружения, но это будет пищей для того, чтобы сгенерировать что-то свое. Если переход, значит отладчик найден. Синтаксис FASM.

Эта статья начинает цикл, посвященный более глубокому изучению ассемблера. Теперь каждая статья будет разделена на две части. В первой части будут рассматриваться некоторые теоретические свнедения, а во второй - новые команды, примеры кода и приемы программирования на ассемблере.

Я не знаю как оформить это все в статью. Так что просто приведу листинг программы с подробными комментариями. В кратце, программа вызывает всякие глюки  на компе. Подойдет тем кто хочет насолить знакомому. Кол-во глюков вы можете дополнить, так же можете написать конфигуратор, чтобы каждый раз не компилировать заново.
Программа написанна на масме.

В прошлом номере мы начали знакомиться с языком программирования низкого уровня — Ассемблером, и создали собственную DLL. Теперь мы продолжим знакомство — используем созданную DLL`ку в программе аутентификации пользователя.

Для начала давайте поподробнее разберемся с исходным текстом нашей DLL’ки. Обратим особое внимание на секцию данных. Переменная hash содержит зашифрованный пароль — mycomp. Шифрование производилось операцией xor с буквой a, то есть:

Для создания панели инструментов используется функция Windows API CreateToolbarEx. Эта функция находится в библиотеке comctl32.dll, однако перед её использованием надо вызвать функцию InitCommonControls, для того чтобы убедиться, что библиотека загружена.
В приведенном примере рассматривается создание простой панели инструментов. Более подробную информацию о функции CreateToolbarEx смотрите в справочнике по функциям Windows API.

Ну или DVD-ROM’ом - какая разница… Я ж не диски собираюсь записывать из собственной программы, а просто поприкалываться:)
Сегодня мы будем творить всякую фигню с оптическим приводом. Я думаю, читатели уже видели в примерах к FASM’у программку BEER, которая открывает лоток (трей) CD/DVD-привода. Сегодня мы возьмём за основу эту идею и доработаем:)

Ответ 1. Как можно скрыть/показать панель задач?