exit:

           push   0            ; Кладём в стэк 0

           call   ExitProcess  ; И завершаем программу 

;--------------------------------------------------------;

setupSEH:

           push   dword ptr fs:[0]    ; Push оригинальный обработчик SEH

           mov    fs:[0],esp          ; И помещаем новый  (который находится после первого call)

           mov    eax,012345678h      ; Пытаемся писать в ядро (что вызовет

           xchg   eax,[ebx]           ; исключение)

end start

После того, как мы научились противодействовать отладчикам уровня приложения, не мешало бы научиться бороться с SoftICE.

Победить правильно настроенный SoftICE практически невозможно, но дело в том, что в 90% он не настроен должным образом.

1) Стандартным методом является использование следующего кода:

           push   ss

           pop    ss

           int    3

При попадании на инструкцию int 3 взломщик попадёт внутрь обработчика и будет там вдали от защитного механизма программы.

2) Следующий код эффективно использовать для модификации ключа расшифровки:

           mov    ebp,"BCHK"

           push   ss

           pop    ss

           int    3

           db     blabla ; Опкод модифицирующий ключ декриптования

3) Разработчики SoftICE оставили возможности для определения его присутствия, которыми мы и воспользуемся для защиты своей программы от SoftICE.

Необходимо всего лишь открыть следующие файлы, если они открываются, значит, SoftICE присутствует на данной машине. В обратном быть уверенным нельзя.

Список файлов:

n  «\.NTICE»