R0 CREW

Advanced anti reversing methods

Есть какие то ресурсы, где обсуждаются именно продвинутые методы защиты от реверса?
Потому что на форумах вроде tuts4you нет ничего кроме обсуждения протекторов и антиотладки.
А меня интересуют именно необычные, нестандартые методы защиты. Где защита - самоцель.
вот например нашел в одной интересной статье, где найти подобное ?

Защита системных вызовов

На этом этапе я столкнулся с проблемой, которую добавили в защиту спустя 3-4 кряка. Разработчики вместо привычных VirtualAllocEx/WriteProcessMemory/VirtualFreeEx и т. д. начали вызывать NtAllocateVirtualMemory, NtWriteVirtualMemory, NtFreeVirtualMemory. Но не просто вызывать из ntdll.dll, а выполнять шелл код в выделенной памяти, выглядит это добро вот так:

0000000002140000 | B8 36000000           | MOV EAX,0x3A                       |
0000000002140005 | 49:89CA               | MOV R10,RCX                        |
0000000002140008 | 0F05                  | SYSCALL                            |
000000000214000A | C3                    | RET                                |

Где 0000000002140000 — адрес выделенной памяти, а 0x3A — номер вызываемой функции (в моём случе 0x3A — это номер NtWriteVirtualMemory).

Вся сложность опять таки заключалась в поиске этого места (из-за виртуальной машины). Как только я наткнулся на одну из этих функций, я составил паттерн, благодаря которому смог найти все остальные места: B8 ?? ?? 00 00 49 89 CA 0F 05 C3 00 00 00 00




Google

Ну и конечно https://exelab.ru/f/index.php?action=vthread&forum=3&topic=26115