thx

God...

Eline sağlık

nice

On 16/08/2025 at 19:48, cambaz said:

NOTA IMPORTANTE: É NECESSÁRIO LEMBRAR QUE NÃO HÁ PATCH DE TEMPO DE EXECUÇÃO OU STRING OBF NO PROJETO. É POR ISSO QUE SUAS STRINGS SERÃO LIDAS NO MODO DE PAUSA, MESMO QUE O PROGRAMA NÃO INICIE NO DEPURADOR, PORQUE ELE NÃO OCULTA SEÇÕES PE. RECOMENDA-SE USAR ESTE PROJETO COM VMP ENGIMA OU CODE VIRTUALIZER.

EN

O que é este projeto?

Este projeto fornece um sistema anti-depuração avançado para aplicativos Windows.
O código combina várias técnicas com TLS Callback e Fake EntryPoint, garantindo que o aplicativo possa se encerrar (TerminateProcess) antes mesmo de chegar à entrada real do programa.

🔹 Técnicas utilizadas

IsDebuggerPresent / CheckRemoteDebuggerPresent → Verificações de API padrão

Sinalizador PEB (Process Environment Block) → detecção BeingDebugged

NtQueryInformationProcess → Verificação de porta de depuração de baixo nível

Detecção de gancho em linha (ntdll.dll) → Detecta patches ScyllaHide / TitanHide

Debugger Window Scan → Pesquisa nomes de janelas x32dbg, x64dbg, OllyDbg

Timing Attack → Usa QueryPerformanceCounter para detectar atrasos

Verificação do Registro de Depuração (DRx) → Detecção de pontos de interrupção de hardware

TLS Callback → É executado antes do ponto de entrada principal do programa

Fake EntryPoint → Oculta a entrada real, executa a anti-depuração primeiro

🔹 Defesa contra ScyllaHide e TitanHide

Ferramentas como APIs de patch ScyllaHide / TitanHide para ocultar o depurador.

Este código os contraria por:

Detecção de gancho em linha → encontra seus patches.

Verificações de tempo → detecta manipulação da velocidade de execução.

Registros de depuração scan → descobre pontos de interrupção de HW.

👉 Resultado: Mesmo com ScyllaHide/TitanHide, o aplicativo será encerrado imediatamente.

🔹 É o suficiente sozinho?

Não totalmente. Isto proporciona uma base sólida, mas não pode garantir 100% de proteção.

Engenheiros reversos qualificados podem ignorá-lo.

Portanto, a melhor abordagem é combinar com VMProtect, Themida ou outras ferramentas de virtualização.

Recomendação:

Você não precisa ativar os recursos anti-depuração do VMProtect (este código já os cobre).

Em vez disso, habilite a virtualização, a mutação e controle a ofuscação do fluxo.

Dessa forma, strings, lógica e rotinas sensíveis permanecem ocultas.

Instruções de instalação:

Em Propriedades do Projeto > Linker > Avançado > Ponto de Entrada defina-o como FakeEntry

ÖNEMLİ NÃO: UNUTMAMAK GEREKLİDİR Kİ PROJEDE HERHANGİ BİR RUNTİME PATCH VEYA STRİNG OBF BULUNMAMAKTADIR BU YÜZDEN PROGRAM DEBUGGER ÜZERİNDEN START OLMASA BİLE PE SECTIONLARI GİZLEMEDİĞİ İÇİN PAUSE MODDAYKENDE STRİNGLERİNİZ OKUNACAKTIR BU PROJEYİ VMP ENGİMA VEYA CODE VİRTUALİZER İLE BİRLİKTE KULLANMANIZ ÖNERİLİR

TR

Bu Proje Nedir?

Paylaştığım projeto, Windows tabanlı uygulamalar için gelişmiş Anti-Debug sistemi içeriyor.
Kodlar, klasik yöntemlerin yanında TLS Callback ve Fake EntryPoint mekanizmaları ile çalışıyor.
Böylece uygulama, daha main() veya WinMain() fonksiyonuna bile ulaşmadan debug edildiğini fark ederse kendini sonlandırıyor (TerminateProcess).

🔹 Kullanılan Teknikler

IsDebuggerPresent / CheckRemoteDebuggerPresent → API padrão tespitleri

PEB (Process Environment Block) Kontrolü → sinalizador BeingDebugged

NtQueryInformationProcess → Kernel seviyesine yakın debug port kontrolü

Gancho em linha Kontrolü (ntdll.dll) → ScyllaHide / TitanHide patch'lerini tespit edebilir

Varredura da janela do depurador → x32dbg, x64dbg, OllyDbg gibi pencere isimlerini arar

Ataque de tempo → QueryPerformanceCounter ile sleep manipülasyonlarını yakalar

Registro de depuração (DRx) Kontrolü → HW breakpoint'leri algılar

TLS Callback → Programın EntryPoint'ine girmeden önce anti-debug çalışır

Ponto de entrada falso → Gerçek giriş gizlenir, önce kontrol yapılır

🔹 ScyllaHide & TitanHide Karşısındaki Gücü

ScyllaHide / TitanHide gibi araçlar, IsDebuggerPresent, NtQueryInformationProcess gibi padrão API'leri hook'layarak debugger'ı gizler.

Ancak bu kod:

Gancho em linha tespiti yaparak, bu araçların yaptığı patch'leri algılar.

Cronometragem saldırısı sayesinde debugger'ın yavaşlatma girişimlerini fark eder.

Registro de depuração taraması ile HW breakpoint'leri ortaya çıkarır.

Sonuç: ScyllaHide veya TitanHide kullanılsa bile uygulama, büyük ihtimalle terminate olur.

🔹 Tek Başına Yeterli mi?

Hayır. Bu kod güçlü bir temel sağlar ama tek başına %100 koruma değildir.

Engenheiro reverso Profesyonel'lar bu katmanı aşabilir.

Bu nedenle, kodu VMProtect, Themida veya farklı bir Virtualizer ile birleştirmek gerekir.

Önerim:

VMProtect'in kendi anti-debug sistemas açmanıza gerek yok (çünkü bu kod zaten fazlasını yapıyor).

Yalnızca Virtualização / Mutação / Achatamento do fluxo de controle gibi diğer koruma özelliklerini açın.

Böylece stringler, kod blokları ve logic tamamen gizlenir.

Kurulum Talimatı:

Propriedades do projeto > Linker > Avançado > Ponto de entrada kısmına FakeEntry yaz

Para quem quiser testar, tente enviar um patch de amostra do crack me. A proteção anti-depuração do VMP está desativada, o projeto utiliza proteção própria.

Teste etmek isteyenler için örnek bir crack me patch atmayı deneyin vmp nin anti debug koruması kapalı projenin kendi korumasını kullanıyor

Conteúdo oculto
Dê reação E comente para ver este conteúdo oculto!

all